GDPR: Varovanje podatkov

Page 1

Varovanje podatkov OKTOBER 2017

Dvomov o gradnji KAJ z lesom jeJE konec

GDPR IN KAKO BO

Les lahko poganja precejšen del slovenskega gospodarstva, vendar je treba pametno organizirati celotno lesnopredelovano verigo, pri čemer ne smemo pozabiti na tehnološki razvoj in oblikovanje.

VPLIVAL NA

VAŠE PODJETJE


Kako do 25. maja 2018 zagotoviti skladnost z GDPR 24. oktober 2017, med 9.00 in 12.30, GZS, Ljubljana Splošna uredba o varstvu podatkov (GDPR), ki se začne uporabljati 25. maja 2018, temeljito zaostruje področje zbiranja, hrambe in obdelave osebnih podatkov. Bo vplivala tudi na vas? Med drugim bodo na seminarju dani odgovori na vprašanja: • • • • • • • • • • • •

kako se spreminja definicija osebnih podatkov; kako po novem do veljavnega soglasja za obdelavo osebnih podatkov in s tem do zakonite obdelave; za kakšne namene lahko uporabljamo zbrane podatke in kaj, če se spremeni namen obdelave; kakšne ukrepe za zavarovanje podatkov moramo sprejeti in zagotavljati; kaj pomeni vgrajeno in privzeto varstvo podatkov; kaj je psevdonimizacija podatkov in kako naj bi se uporabljala; kaj je ocena učinka (impact assesment) in kdaj jo je treba izvesti; kdaj moramo imenovati pooblaščeno osebo za varstvo podatkov, koga lahko imenujemo in kakšne so njene naloge; kakšne so nove obveznosti pri outsourcingu; kako je urejen iznos podatkov v tretje države; pod kakšnimi pogoji lahko pridobivamo podatke od mladoletnikov; kakšne so nove obveznosti glede obveščanja o kršitvah.

Seminar bo vodil Matija Jamnik (Odvetniška pisarna Jamnik, d. o. o.).

Več na akademija.finance.si/gdpr


UVODNIK

Ne čakaj(te) na maj

D

o 25. maja 2018 nas loči še več kot 200 dni. Sliši se veliko, a pravzaprav ni. Sploh, če govorimo o kopici stvari, ki jih vključuje nova splošna uredba o varstvu osebnih podatkov. Prinaša nove funkcije, naloge, obveznosti, dolžnosti … Skratka, če ste nova pravila o varstvu osebnih podatkov (ali skrajšano GDPR) malo prespali, bo konec maja hitro tu. Spomnimo se, kako je bilo s piškotki. Pa pred slabima dvema letoma z davčnimi blagajnami. Čas hitro mine. In kar naenkrat je tu nova zakonodaja, podjetje pa nepripravljeno. In potem sledijo težave, kup dela, stroški, stres … Zato ne čakajte na maj. Novosti pri novi zakondaji je kar nekaj in v nekaj dneh jih boste težko osvojili. Mi smo vam zato v pomoč. Želimo vas opomniti na nova pravila in vas opozoriti, kaj vse morate urediti v prihodnjih mesecih. Predstaviti nekaj novosti, ki se vas (morda) tičejo. Denimo pooblaščenci za varstvo osebnih podatkov. Teh ne boste potrebovali vsi, a ne čakajte na konec maja, da ugotovite, ali ga ste med tistimi, ki ga potrebujete.

Špela Mikuš, urednica priloge Varovanje podatkov

Preverite tudi, ali morda potrebujete oceno učinka v zvezi z varstvom osebnih podatkov. Prinašamo vam tudi pregled osnovnih sprememb, ki jih zahtevata uredba in nova slovenska zakonodaja. Skratka, pomagati vam želimo, da ne boste novih pravil o osebnih podatkih pričakali nepripravljeni. Kazni, ki vas bodo lahko doletele, če ne boste vestno upoštevali vseh novih nalog in obveznosti, so lahko astronomske. Zato, še enkrat, ne odlašajte s pripravami! In če mislite, da bo potem, ko boste enkrat povsem prilagojeni GDPR, vse teklo gladko, žal ni čisto tako. V ne tako oddaljeni prihodnosti nas namreč čaka še ena nova uredba. Tokrat o e-zasebnosti. In spet se bo treba učiti in prilagajati.

Varovanje podatkov je priloga časnika Finance.

Urednica priloge:

Oblikovanje in prelom: Finance

Špela Mikuš

Lektoriranje: Finance

Izid: 19. 10. 2017

spela.mikus@finance.si

Fotografija na naslovnici: Shutterstock

VAROVANJE PODATKOV 3


NOVA PRAVILA O VARSTVU OSEBNIH PODATKOV

ZA TELEBANE:

kaj prinašajo in zakaj se tičejo tudi vas Pregledali smo, kaj podjetjem prinaša nova uredba o varstvu osebnih podatkov Špela Mikuš

spela.mikus@finance.si

M

aja prihodnje leto se bosta tudi v praksi začela uporabljati nova evropska uredba o varstvu osebnih podatkov in nov slovenski zakon o varstvu osebnih podatkov, ki izhaja iz te uredbe. Oba podjetjem, ki obdelujejo osebne podatke (to je kar velik del podjetij), nalagata nekaj novih nalog, obveznosti. Nekatera podjetja boste tako potrebovala pooblaščenca za varstvo osebnih podatkov. Splošna uredba o varstvu osebnih podatkov (General Data Protection Regulation ali skrajšano GDPR) določa nova pravila glede varstva osebnih podatkov. Nova uredba (in z njo tudi nova zakonodaja) velja za vsako podjetje in ustanovo, ki uporablja in kakorkoli obdeluje osebne podatke državljanov EU. Že če zbirate naslove in če pošiljate pošto svojim naročnikom, strankam, kupcem, se boste morali prilagoditi novi zakonodaji.

Kdaj se GDPR začne uporabljati?

GDPR in tudi zakon o varstvu osebnih podatkov se bosta začela uporabljati 25. maja 2018. A čeprav se zdi ta datum oddaljen, svetujemo, da ne odlašate s prilagoditvijo novim pravilom.

Kaj pa slovenska zakonodaja?

Področje, ki ga ureja uredba, bo v Sloveniji urejal novi zakon o varstvu osebnih podatkov (ZVOP2). V času pisanja tega članka je bil dostopen osnutek zakona, ki je v javni razpravi do 13. novembra. Kot je zapisano v osnutku zakona, bo ta začel veljati dan po objavi v Uradnem listu RS, uporabljati pa se bo začel takrat kot GDPR, torej 25. maja prihodnje leto. 4 VAROVANJE PODATKOV

Kdaj lahko zbirate osebne podatke?

V ZVOP-2 piše, da se podatki obdelujejo zakonito, tako da so določene zakonske podlage za njihovo obdelavo. Določeni morajo biti namen obdelave, vrste osebnih podatkov, ki naj bi jih obdelovali, in rok hrambe teh podatkov.

Kateri so novi izrazi in pojmi, ki jih morate poznati?

Z novim zakonom se spreminjajo tudi nekateri izrazi, ki so bili uveljavljeni v prvotnem zakonu o varstvu osebnih podatkov. Denimo: občutljive osebne podatke so »zamenjale« posebne vrste osebnih podatkov. Za te podatke ZVOP-2 prepoveduje obdelavo tistih osebnih podatkov, ki razkrivajo rasno ali etično pripadnost, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu, spolno usmerjenost. Zakon pa dovoljuje tudi nekaj izjem, kdaj te podatke lahko obdelujete. Denimo, če dobite izrecno osebno privolitev posameznika, če je posameznik te podatke sam javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe …

Kako natančni morate biti pri namenu obdelave?

Precej. Če napišete, da podatke zbirate za izboljšanje storitev, to ni dovolj. Kot pojasnjujejo v uradu informacijske pooblaščenke, mora iz namena jasno izhajati, za kaj konkretno se bodo podatki uporab­ ljali. Denimo za pošiljanje mesečnih obvestil o novih izdelkih določenega podjetja ali mesečnih e­novic določenega podjetja … Vaša stranka se mora zavedati, s čim soglaša.

Bi podatke zbirali za drug namen, kot ste najprej nameravali?

Zakon za zasebni sektor pravi, da je obdelava osebnih podatkov za drug namen dovoljena le:


VAROVANJE PODATKOV 5


○ če dobite privolitev posameznika, na katerega se nanašajo osebni podatki; ○ obdelavo za drug namen določajo zakon, pravni akti, odločitev EU (ki se uporablja neposredno); ○ to morate storiti, ker te podatke potrebujete za namene preprečevanja, preiskovanja, odkrivanja, pregona kaznivih dejanj (…); ○ podatke morate za drug namen od prvotnega obdelati, ker je to potrebno za uveljavljanje, izvajanje ali obrambo civilnopravnih zahtevkov, če ne prevladujejo interesi posameznika, na katerega se nanašajo osebni podatki.

Potrebujete privolitev za zbiranje podatkov?

Zbiranje osebnih podatkov je možno na podlagi privolitve oziroma soglasja (torej opt-in). Privolitev za obdelavo osebnih podatkov je v ZVOP-2 opredeljena kot prostovoljna, izrecna, informirana in nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki. Če – kot pojasnjujejo v uradu informacijske pooblaščenke – posameznik zgolj odkljuka »da«, to ni zadostna privolitev. »Da je privolitev skladna z novo evropsko splošno uredbo, mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem, ki vsebuje predvsem informacijo o identiteti upravljavca in namenu obdelave posameznih osebnih podatkov. Iz nje mora jasno in nedvoumno izhajati, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje,« pojasnjujejo. Ob tem pa je še pomembno vedeti: molk ni privolitev. Če ste že dobili privolitve uporabnikov, jih morate še enkrat? Ne nujno. A če niso skladne z GDPR oziroma ZVOP-2, jih morate dobiti še enkrat. Dodajmo še – GDPR zapoveduje, da mora biti privolitev enako enostavno preklicati kot dati.

Kaj je profiliranje?

GDPR in ZVOP-2 profiliranje oziroma oblikovanje profilov definirata kot »vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika«. Dva primera profiliranja: 1. spletna trgovina, ki spremlja nakupne navade in stranki prikazuje ponudbo, prilagojeno temu; 2. spletni medij, ki prikazuje članke, ki jih bralec še ni prebral. In če se izkaže, da profilirate, potrebujete pooblaščeno osebo za varstvo podatkov, pred začetkom obdelave podatkov pa še oceno učinkov na varstvo osebnih podatkov.

Koliko časa lahko hranite osebne podatke?

Rok hrambe morate določiti in omejen mora biti na najkrajše možno obdobje. Če ni mogoče določiti roka hrambe osebnih podatkov (ni bil predpisan v 6 VAROVANJE PODATKOV

Kaj mora vsebovati evidenca Ime in kontaktne podatke podjetja. Razloge za obdelavo podatkov. Opise kategorij osebnih podatkov in posameznikov, na katere se nanašajo osebni podatki. Kategorije organizacij, ki prejemajo podatke. Podatke o prenosu podatkov v drugo državo ali organizacijo. Rok za odstranitev podatkov (če je mogoče). Opis varnostnih ukrepov, ki se uporabljajo pri obdelavi (če je mogoče). Vir: evropska komisija

zakonu, ni zapisan v pogodbi …), je rok hrambe v osnutku za zdaj določen na pet let.

Ali lahko zbirate podatke otrok?

Na tem področju so zdaj postavljene starostne omejitve. Če zbirate osebne podatke otrok, velja, da je, če je otrok mlajši od 15 let, obdelava njegovih osebnih podatkov zakonita le, če privolitev da ali odobri starš, rejnik ali skrbnik. V osnutku ZVOP-2 sicer piše, da je možno tudi, da bo mejna starost v Sloveniji 14 let. Tu je tudi manjša razlika z GDPR: v uredbi piše, da je privolitev otroka zakonita, če je ta starejši od 16 let. A je uredba dopustila, da države članice določijo nižjo starost, vendar mejna starost ne sme biti nižja od 13 let.

Pravica do popravka ali prenosljivosti: kaj to pomeni?

Če so podatki nepravilni, je vedno mogoče zahtevati popravek, prav tako bo lahko posameznik, če ne bo več želel, da se njegovi osebni podatki obdelujejo, in ob pogoju, da ni zakonitih razlogov za njihovo nadaljnjo hrambo, od poslovnih subjektov in drugih zahteval, da se njegovi podatki zbrišejo, pojasnjujejo v uradu informacijske pooblaščenke. Ob tem dodajajo, da je pomembna novost pravica do prenosljivosti podatkov. Tu gre za dolžnost upravljavca, da posamezniku zagotovi osebne podatke v zvezi z njim, ki jih je posameznik posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki.


Na poti do GDPR je potrebnih več etap Nova splošna uredba o upravljanju z osebnimi podatki je tako široka, da cilj podjetja, ki pravi »s tem projektom bomo zagotovili skladnost z GDPR«, ni realen. Precej boljši pristop je razdelitev končnega cilja na več vmesnih ter sprotno osvajanje znanj in implementacije rešitev.

Določite procese in vloge Zaradi kompleksnosti projekta in rezultatov, ki ne bodo vidni pri poslovanju, ampak zgolj pri skladnosti podjetja, je zaposlene težko navdušiti. Zato je zelo pomembno sporočilo pokrovitelja projekta, ki naj bo med ključnimi ljudmi v podjetju. Brez jasnega sporočila in lastnega zgleda bo težko doseči kratkoročne zmage, kaj šele uspeh celotnega projekta.

»Za uskladitev z novo uredbo skladnega poslovanja niso vedno potrebni novi produkti, velikokrat zadostujejo že nekatere obstoječe rešitve,« pojasnjuje Aleš Leskošek, direktor podjetja COMPAREX v Sloveniji. »Podjetjem predlagamo uvedbo nove funkcije, in sicer direktorja za zaščito podatkov (DPO), ki je kontakt za vsa vprašanja in projekte pri uvedbi GDPR. Takšna oseba je lahko zaposlena v podjetju, vedno več podjetij pa tako specifično funkcijo najame v obliki storitve pri zunanjem izvajalcu,« dodaja Leskošek. Za vsako podjetje, ki se loteva skladnosti z GDPR, je bistvenega pomena opredelitev procesov, ki jih je treba upoštevati, in vlog ključnih ljudi ter njihove odgovornosti. Le z organizirano skupino ljudi, ki bodo dobro sodelovali, bo lahko projekt vpeljave skladnosti GDPR uspešen v praksi. Hitre zmage »V COMPAREXu imamo izdelan načrt doseganja skladnosti GDPR. Skupaj z organizacijo odgovorimo na številna vprašanja in izdelamo osnovno oceno pripravljenosti na GDPR, nato pa še načrt ureditve posameznih področij. Za moralo in zagon so zelo

Ne delajte vsega sami Podjetja, ki so kadrovsko podhranjena in nimajo zaposlenih, ki bi se lahko posvetili projektu urejanja skladnosti poslovanja z GDPR, naj najamejo zunanjo pomoč. Takšna rešitev bo na dolgi rok (naj)cenejša, saj ne bo dragega odpravljanja morebitnih napak. »Tudi v COMPAREXu imamo na ravni skupine zunanjega svetovalca, saj nismo specialisti za vse zadeve. Naša interna skupina vključuje zunanje pravnike, ki so specializirani za področje GDPR. Dodatna prednost je prisotnost podjetja v večini držav EU, kjer spremljamo lokalne dobre prakse in jih lahko prenesemo v slovensko okolje. Domačim podjetjem lahko zagotovimo tudi pomoč mednarodnih strokovnjakov za posamezno področje. Ponosni smo na partnerstvo z večino proizvajalcev poslovne programske opreme, saj tako strankam pomagamo najti rešitve v okviru obstoječe programske opreme,« zaključuje Leskošek.

www.comparex-group.com

Promocijsko besedilo

Uredba GDPR v grobem obsega vsaj štiri glavna področja, povezana s podatki. Podjetja naj najprej identificirajo, katere osebne podatke sploh hranijo, kje in kako. Naslednji korak je preverjanje upravljanja s podatki, kateri zaposleni lahko do osebnih podatkov dostopajo in kako jih uporabljajo. Šele nato pride na vrsto zaščita podatkov – česar ne poznate, pač ne morete varovati. Podjetja morajo poskrbeti za vzpostavitev varnostnih kontrol za detekcijo, zaščito in odziv na vdore in neavtoriziran dostop. Zadnji korak zagotavljanja skladnosti pa je vpeljava sistema poročanja, ki bo spremljal, kaj se z osebnimi podatki v podjetju dogaja. »V COMPAREXu stavimo na dobre prakse proizvajalcev poslovne programske opreme kot so Microsoft, IBM in drugi. Njihove rešitve uporabljamo tudi pri zagotavljanju skladnosti. Trenutno je večina podjetij v fazi analize stanja. Microsoftova analiza na primer z odgovori na več kot 160 vprašanj oceni, na kateri stopnji pripravljenosti za GDPR je posamezna organizacija. Hkrati ta dobi priporočila, s katerimi produkti lahko rešuje vprašanja glede GDPR. Organizacijam svetujemo, da za uskladitev z novo uredbo skladnega poslovanja ne potrebujejo vedno novih produktov, velikokrat zadostujejo že nekatere obstoječe rešitve,« pojasnjuje Aleš Leskošek, direktor podjetja COMPAREX v Sloveniji.

pomembne tako imenovane hitre zmage,« razlaga Leskošek. Za eno od kratkoročnih zmag lahko recimo poskrbi rešitev Portfolio Management Platform, ki rešuje izziv identifikacije hrambe podatkov. Osnovna storitev omogoči pregled vse nameščene programske in strojne opreme v organizaciji. Prav tako lahko podjetje analizira, kje so podatkovne baze, e-poštni sistemi in podobne podatkovne zbirke, ki so vir osebnih podatkov. Naslednji korak je lahko uporaba storitve Cybersecurity SAM, ki na podlagi inventure programske opreme pripravi priporočila glede varnosti, možnosti vdorov in varnostnih lukenj pri rabi trenutne programske opreme. Seveda vsaka analiza vrzeli pred nadaljevanjem zahteva odpravo ugotovljenih pomanjkljivosti in napak.


Kdaj morate izbrisati osebne podatke? V ZVOP-2 piše, da takrat, ko osebni podatki niso več potrebni za namene, za katere so bili pridob­ ljeni ali drugače obdelani, so bili osebni podatki obdelani nezakonito ali je izbris osebnih podatkov potreben zaradi izpolnitve druge obveznosti po zakonu ali po pravnomočni sodni odločbi.

Kaj je »pooblaščena oseba za varstvo osebnih podatkov«?

Nova funkcija, ki jo uvaja GDPR in je prenesena tudi v ZVOP-2, je pooblaščena oseba za varstvo osebnih podatkov (data protection officer ali krajše DPO). Ta obdelovalcu ali upravljavcu osebnih podatkov neodvisno pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov z GDPR in ZVOP-2.

Ga potrebujejo vsa podjetja?

Preprosto povedano, ne, ne potrebujejo ga vsa podjetja. Pooblaščenca morajo imenovati vsi uprav­ljavci in obdelovalci osebnih podatkov v javnem sektorju (tudi tisti v zasebnem sektorju, ki osebne podatke obdelujejo za javni sektor). To zajema celoten javni sektor, denimo šole, vrtce, muzeje, knjižnice, javne agencije, zdravstvene domove, bolnišnice. Potrebujejo ga tudi tista podjetja, ki redno, sis­ tematično in obsežno spremljajo osebne podatke posameznikov. Banke, zavarovalnice, trgovci s klu­ bi zvestobe, spletne trgovine, kadrovske agencije – vsi, ki tržijo, oblikujejo storitve, glede na preferen­ ce in zmožnosti posameznika, vsi, ki se kakorkoli ukvarjajo z obdelavo velikih količin podatkov za namen napovedovanja trendov ali identifikacije potreb posamezne skupine. Denimo frizerka s stalnimi strankami ne potre­ buje pooblaščenca. Espe, ki ima portal, nekaj tisoč naročnikov in obdeluje naslove njihove e-pošte, pa ga potrebuje, če bo izdeloval profile svojih strank. Ni nujno, da je pooblaščenec zaposlen v podje­ tju, lahko je zunanji izvajalec. To se splača tistim, pri katerih pooblaščenec ne bo imel za osem ur dela. Seveda lahko pooblaščeno osebo prostovolj­ no imenujejo tudi druga podjetja, tista, ki ga po zakonu ne potrebujejo. V ZVOP-2 med drugim piše, da lahko članice po­ vezane družbe ali članice zveze društev imenujejo skupnega pooblaščenca. Bo torej denimo možno, da bi imela obrtno-podjetniška zbornica pooblaš­ čenca, čigar storitve bi lahko »najeli« oziroma tudi koristili tisti obrtniki, manjši podjetniki, ki bi pooblaščenca pač potrebovali? Na pravosodnem ministrstvu pravijo, da bo to možno, in seveda dodajajo: »Večina obrtnikov ne posluje s toliko osebnimi podatki (količinsko) oziroma nimajo nuj­ no tveganih obdelav osebnih podatkov.«

Kaj so evidence in kdo mora voditi evidence obdelav?

Evidence obdelav bodo nadomestile kataloge zbirk osebnih podatkov. Te bodo morala voditi velika podjetja, to so torej tista podjetja in ustanove, ki imajo 250 zaposlenih ali več. Evidence bodo morali

Kdaj morajo mala in srednja podjetja voditi evidenco

DA Če podatke obdelujejo redno. obdelava ogroža pravice in DA Če svoboščine ljudi.

DA

Če pri obdelavi ravnajo z občutljivimi podatki ali kazenskimi evidencami. Vir: evropska komisija

voditi tudi tisti upravljavci, pri katerih je verjetno, da obdelava, ki jo izvajajo, pomeni tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

Bodo evidence morala voditi tudi vsa mikro, mala in srednja podjetja?

Ne. Ta imajo tu manj obveznosti. Evidence morajo voditi le, če podatke obdelujejo redno, obdelava podatkov ogroža pravice in svoboščine ljudi ter če pri obdelavi podatkov ravnajo z občutljivimi podat­ ki ali kazenskimi evidencami.

Kdo vas bo nadziral?

Nadzorni organ bo informacijski pooblaščenec. Kot je zapisano v osnutku ZVOP-2, bo informacijski pooblaščenec tudi tisti, ki bo izvajal inšpekcijski nadzor, nadzor nad zakonitostjo obdelave osebnih podatkov v skladu z določbami zakona ... Imel bo možnost odločati o postopkih za prekrške za krši­ tve zakona in ZVOP-2.


GDPR je tudi informacijsko pravo

GDPR podjetjem prinaša številne nove obveznosti in omejitve, posameznikom pa več pravic in nadzora nad lastnimi osebnimi podatki. GDPR bo nedvomno močno vplivala na poslovanje in delovanje javne uprave ter organizacij in podjetij, ki obdelujejo osebne podatke, saj bodo ta morala ustrezno uskladiti svoje delovanje in varovanje podatkov z novimi standardi in zahtevami. Priporočljivo je, da vsak upravljavec v naslednjih mesecih analizira dosedanje delovanje na področju upravljanja z osebnimi podatki in opredeli morebitne spremembe in prilagoditve. Podjetja razumejo, da bodo spremembe tako tehnične kot organizacijske, saj uredba opredeljuje nove kategorije osebnih podatkov, kot so lokacijski, spletni, genetski itd., ter zahteva tudi pridobivanje soglasij od posameznikov za hrambo in obdelavo podatkov (ter razkritje namena obdelave). Brez strahu pred globami in odškodninskimi zahtevki Nekatera podjetja bodo morala imenovati tudi interno pooblaščeno osebo za varstvo podatkov (DPO). Ta mora biti strokovnjak na področju varstva podatkov in neodvisna od vodstva. Ker gre za kompleksno in interdisciplinarno področje, uredba GDPR omogoča, da funkcijo DPO opravlja zunanji ponudnik na podlagi pogodbe. Številna podjetja se bodo verjetno res odločila za zaupanje funkcije DPO specializiranemu zunanjemu ponudniku storitev.

Boris Kozlevčar: »JK Group je eden redkih ponudnikov, ki strankam omogoča izvajanje funkcije pooblaščene osebe za varstvo podatkov.«

»V Pravni pisarni JK Group smo specializirani za svetovanje na področju IT-prava, varstva osebnih podatkov in zasebnosti v informacijski družbi. Z dolgoletnimi praktičnimi izkušnjami – s področja varstva osebnih podatkov podjetjem svetujemo že od leta 2008 – in vrhunsko usposobljenimi strokovnjaki poskrbimo za to, da bodo upravljavci osebnih podatkov tudi po 25. maju 2018 delovali skladno z enotno evropsko regulativno in posledično pravno varno in da bodo podjetja in organizacije lahko normalno poslovale naprej, brez strahu pred globami in odškodninskimi zahtevki,« pravi Boris Kozlevčar, partner v JK Group. 360-stopinjski pogled na podatke in informacije Pristop JK Group k urejanju področja upravljanja in varovanja osebnih podatkov je celovit. Pri strankah najprej opravijo temeljito analizo stanja in ugotovijo vrzeli na poti do skladnosti z GDPR. Podjetjem pomagajo izdelati evidenco dejavnosti obdelave podatkov, torej kataloge zbirk osebnih podatkov in njihove obdela-

ve. Prav tako strankam pomagajo pri izdelavi internih pravilnikov in politik obdelave, hrambe in varstva podatkov ter pogodb in navodil za zunanje ponudnike storitev, vključno s storitvami v oblaku. Opravijo tudi oceno učinka predvidene obdelave na varstvo podatkov. JK Group je eden redkih ponudnikov, ki strankam omogoča izvajanje funkcije (interne) pooblaščene osebe za varstvo podatkov, njegova prednost pa je tudi poznavanju drugih vrst pravnega svetovanja ter morebitno zastopanje strank pred nadzornim organom (IP). Na področju GDPR ponujajo več paketov storitev, od že omenjene pooblaščene osebe za varstvo podatkov do zagotavljanja skladnosti delovanja organizacije, poslovnega modela, privolitve za obdelavo podatkov ter pravilnikov o obdelavi in varstvu osebnih podatkov.

Bogdan Jug: »Pristop kopiraj/ prilepi pravilnike kakega drugega podjetja po GDPR ne pride več v poštev.«

»Pomembno je, da se ureditev medsebojnih razmerij ne lotevamo sami, pač pa to prepustimo izkušenim pravnim strokovnjakom. GDPR se v številnih točkah pomembno razlikuje od sedanje ureditve po ZVOP-1. V podjetjih je treba preveriti skladnost trenutnih internih pravilnikov, pogodb s tretjimi osebami, ostalih pogodb, procesov upravljanja z osebnimi in občutljivimi podatki, privolitev, pooblastil zaposlenim ipd. Pristop kopiraj/prilepi pravilnike kakega drugega podjetja po GDPR ne pride več v poštev, saj morajo biti postopki in ukrepi za zavarovanje podatkov prilagojeni konkretno identificiranim tveganjem ter tipom in namenom obdelave podatkov. Vsekakor si želite, da so pravni odnosi in dokumenti urejeni s strani specializiranih pravnikov, ki razumejo zakonodajo in dejavnost, v kateri delate, v konkretnem primeru informatiko in področje varovanja osebnih podatkov, ki ga ureja uredba GDPR,« dodaja Bogdan Jug, vodja projektov GDPR v pravni pisarni JK Group.

Vodič po GDPR V podjetju JK Group so uredbo GDPR, ki jo sestavlja 173 uvodnih pojasnil in 99 členov, zelo podrobno preučili. Bistvene novosti, ki jih mora vsako podjetje vedeti o novi Splošni uredbi GDPR, pravicah posameznika in obveznostih upravljalcev ter pooblaščeni osebi za varstvo podatkov (DPO), so povzeli v kratkem vodiču po novostih s področja varstva osebnih podatkov. Omenjen 12-stranski vodič, ki poskrbi za boljše razumevanje uredbe, je dostopen na spletni strani www.dpo-gdpr.si/vodic-gdpr/. Brezplačno je na voljo vsem, ki se prijavijo.

Promocijsko besedilo

Uredbe in predpisi sodijo na področje prava. Nova Splošna uredba GDPR, ki ureja področje hrambe in obdelave podatkov, podjetjem ne predstavlja zgolj tehnoloških in organizacijskih izzivov, temveč predvsem pravne. Te pa rešujejo strokovnjaki za informacijsko pravo.


KAJ MORATE STORITI PRED MAJEM 2018 Prvi korak pred GDPR: popišite vse zbirke osebnih podatkov

Špela Mikuš

spela.mikus@finance.si

D

o začetka uporabe novega zakona o varstvu osebnih podatkov (ZVOP-2) in seveda splošne uredbe o varstvu osebnih podatkov (GDPR) imate še kar nekaj mesecev. A s pripravami nanj ne odlašajte. Ne želite, da se vam ponovijo davčne blagajne, ko se je nato vse reševalo v zadnjem hipu. Z odvetnico Natašo Pirc Musar smo pogledali, kaj morate postoriti, še preden se 25. maja prihodnje leto ta zakonodaja in uredba tudi v praksi začneta uporabljati.

Kaj je tisto najpomembnejše, kar morate podjetja storiti, preden se GDPR začne uporabljati? Prvi nasvet je: naredite popis vseh zbirk osebnih podatkov. Letos mineva 13 let, odkar se v Sloveniji izvaja zakon o varstvu osebnih podatkov (ZVOP-1), ki je bil sprejet leta 2004. Številna podjetja so takrat pregledala svoje zbirke, jih prijavila v register informacijskega pooblaščenca ... Potem pa se je na to obveznost sčasoma pozabilo. Vmes so nastale nove zbirke, novi programi CMS (Content Management System) in danes mnogo podjetij nima pregleda nad svojimi zbirkami na enem mestu, nima pregleda nad vrstami sistemov hrambe baz (podjetje ima recimo nekaj baz v 10 VAROVANJE PODATKOV

Excelovih tabelah, nekaj še papirno vodenih, nekaj povsem avtomatiziranih v sofisticiranih informatiziranih zbirkah). GDPR je priložnost, da naredite revizijo stanja, in verjemite mi, luknje boste hitro našli. Moj drugi nasvet takoj za tem je: preverite, na kakšni pravni podlagi ste v konkretno zbirko osebnih podatkov vnašali konkretne osebne podatke! Najmanj težav bo pri zbirkah, pri katerih je pravni temelj zakon ali pogodba, največ težav pa pri zbirkah, pri katerih je pravni temelj privolitev ali legitimni interes upravljavca. Vsi skupaj pa se moramo zavedati, da je GDPR predpis, ki posameznikom daje več nadzora nad uporabo njihovih osebnih podatkov (tudi mojih in vaših). Uredba je predvsem osredotočena na digitalne podatke in avtomatsko obdelavo. Resnici na ljubo, danes je bolj malo upravljavcev zbirk osebnih podatkov, ki bi zbirke še imeli le na papirju.

Pridno ste se držali ZVOP-1. Koliko dela boste imeli, da boste v skladu tudi z GDPR? Slovenski zakon o varstvu osebnih podatkov je dober in tudi zavest, da je treba biti pri obdelavi osebnih podatkov natančen in previden, je zaradi dela informacijskega pooblaščenca na visoki ravni.


Varni z GDPR Cilj nove uredbe GDPR je urediti področje hrambe in obdelave osebnih podatkov, predvsem pa njihove zaščite v vsej življenjski dobi. GDPR je hkrati priložnost, da podjetja ob iskanju rešitev za zagotavljanje skladnosti bistveno dvignejo svoj nivo informacijske varnosti.

Po znanje in rešitve k sistemskim integratorjem Kot pravi Matjaž Katarinčič, varnostni strokovnjak v podjetju Smart Com, je zagotavljanje skladnosti poslovanja z uredbo GDPR priložnost za sistemske integratorje, posebej tiste, ki veljajo za specialiste s področja informacijske varnosti in znajo načrtovati varne poslovne sisteme in rešitve, skladne z najvišjimi varnostnimi standardi. »Podjetja se morebiti premalo zavedajo pasti na varnostnem področju. In to ne le neposrednih groženj kot so hekerji, virusi in druge škodljive kode. Tudi slabo načrtovane varnostne rešitve, postavljene zgolj zaradi zagotavljanja skladnosti z varnostnimi standardi, so nevarne. Če so hkrati še nepreverjene, se na koncu pogosto izkaže, da sploh ne opravljajo svojega namena, torej je podjetje še bolj ogroženo.« Iznajdljivi napadalci so nočna mora IToddelkov Ker podjetja uporabljajo cel kup informacijskih rešitev, poslovne programske opreme ter digitalnih naprav in storitev (predvsem iz računalniškega oblaka), je zagotavljanje ustrezne informacijske varnosti zahtevna naloga. Kompleksna okolja in iznajdljivi napadalci so namreč za oddelek IT brez specializiranih varnostnih strokovnjakov huda nočna mora.

»Predvidevam, da do postavljenega roka vsa podjetja zagotovo ne bodo skladna z novo uredbo,« pravi Matjaž Katarinčič, vodja področja informacijske varnosti v Smart Comu. Sistemi in aplikacije so lahko varni in učinkoviti šele takrat, ko so ustrezno povezani in zavarovani. Uredba GDPR postavlja veliko resnih vprašanj, na katera bodo morala podjetja najti odgovore. Predvsem pa bodo morala poskrbeti za varen in sledljiv dostop poslovnih uporabnikov do podatkov, njihovo spremljanje in analiziranje. Praksa zapoveduje kriptiranje Na področju komunikacije in prenosa podatkov praksa narekuje kriptiranje podatkov. Močna enkripcija poskrbi, da tudi v primeru morebitnega prestrezanja napadalec dobi le kup nerazločnih ničel in enic. Velik izziv je resnično varno brisanje podatkov, še bolj bosa pa so podjetja na področjih odkrivanja varnostnih incidentov in preverjanja zlorab ter odtekanj podatkov. Statistika je strašljiva – v povprečju podjetja več kot 200 dni sploh ne ugotovijo, da so bila napadena, v tem času pa lahko napadalci odtujijo ogromno podatkov. Podjetja se morajo lotiti zagotavljanja skladnosti z uredbo GDPR sama, saj je to njihova odgovornost. Vsekakor pa naj, če ugotovijo, da nalogi ne bodo kos, poiščejo pomoč strokovnjakov. Sistemski integrator jim lahko pomaga tako s strokovnim svetovanjem kot z vpeljavo raznih varnostnih rešitev in ureditvijo poslovnih procesov s ciljem zagotavljanja dodatne varnosti. Čez leto dni bo GDPR še bolj vroča tema Zagotavljanje z GDPR skladnega poslovanja v neurejenih IT-okoljih in podjetjih ne bo lahka

naloga. Podjetja se je morajo zato lotiti takoj. Že danes je težko natančno opredeliti, kako dolgi in dragi so in bodo v povprečju projekti s področja GDPR, saj je praktično vse odvisno od trenutnega stanja (ne)skladnosti poslovanja s posameznimi členi regulative. Več kot je neskladij, daljša in dražja bo implementacija. V primerjavi z drugimi (najboljšimi) evropskimi podjetji so slovenska pri zagotavljanju skladnosti z uredbo GDPR v relativnem zaostanku. A s prstom kazati na državo in se spraševati, zakaj po GDPR povzeti novi zakon o varstvu podatkov (ZVOP-2) še ni implementiran v slovenski pravni red, ni pravi pristop. Do konca maja 2018 je le še nekaj več kot 200 dni. Kratica GDPR bo zato še kako zaznamovala prihodnje leto. »Predvidevam, da do postavljenega roka vsa podjetja zagotovo ne bodo skladna z novo uredbo. Še več, imamo občutek, da se bomo čez leto dni še vedno ukvarjali z reševanjem stanja v prvih podjetjih, ki bodo že začela prejemati globe.«

Za več informacij se obrnite na g. Petra Pavšiča, e-pošta: peter.pavsic@smart-com.si, tel.: (01) 530 83 08.

Promocijsko besedilo

Varnost poslovnih podatkov in informacij je danes pretežno v domeni oddelkov IT, a bi morala biti skrb vseh zaposlenih. Prihodnja uredba GDPR bo znatno uredila področje upravljanja s podatki, saj so zagrožene visoke kazni dovolj velika motivacija za sleherno podjetje, da uredi svoje poslovanje in po možnosti celo postane »podatkovno gnano«. GDPR prinaša obilo novih zahtev na področju varovanja podatkov. Groženj, ki izhajajo iz nepooblaščenega dostopa do podatkov (kraje, zlorabe, odtekanja ...), morajo podjetja čim bolj učinkovito preprečiti, če že pride do njih, pa čim prej odkriti in zajeziti. Podjetja torej poleg kakovostnega vpogleda v podatke in poslovanje potrebujejo predvsem varnostne rešitve, ki bodo znale napadalce držati stran od podatkov.


6 vprašanj, na katera morate znati odgovoriti Nataša Pirc Musar vam ponuja nekaj vprašanj, ki si jih (vsak večer pred spanjem, če malce pretiravamo) postavite še pred majem 2018: 1. Ali imamo v našem podjetju vse pripravljeno za izvrševanje pravice posameznika do vpogleda v njegove osebne podatke? 2. Ali sploh vemo, katere vse podatke o konkretnem posamezniku hranimo? 3. Za kakšne namene smo jih zbrali in koliko časa jih lahko hranimo? 4. Ali smo pripravljeni na tako imenovano pravico do pozabe in znamo posamezniku zagotoviti nepovratno brisanje njegovih podatkov? 5. Ali smo pripravljeni na izvrševanje pravice do prenosljivosti osebnih podatkov (Data Portability) in posamezniku znamo izročiti njegove podatke v strojno berljivi obliki (ja, ni več dovolj, da bi mu jih natisnili na papir in poslali po pošti)? 6. Ali imamo veljavno osebno privolitev posameznika, s katero nam je izrecno dovolil, da obdelujemo njegove osebne podatke, kadar nimamo drugega pravnega temelja za obdelavo?

Če boste v novem predpisu našli nove poslovne možnosti in možnosti za razvoj novih aplikacij, boste bolj razmišljali v pravo smer, kot pa da GDPR vidite kot nebodigatreba.

GDPR pa vendarle prinaša toliko sprememb, da povsem brez dela ne bo nihče – ne majhno, kaj šele veliko podjetje. Glede na izkušnje iz prakse pa zagotovo lahko rečem, da se večja podjetja zelo dobro zavedajo tveganj, če po maju 2018 ne bodo delovala po GDPR, manjša podjetja pa kar čakajo, se bojim, da se bodo prebudila 20. maja 2018, pet dni pred dnevom D ... Naj spomnim, podobno se je zgodilo s »piškotno« zakonodajo, ki je prav tako imela dolgo obdobje za prilagoditev, a večina jih je prebujenje doživela tik pred zdajci. In mimogrede, tudi meni gredo obvestila o piškotkih na živce. In še: če boste v novem predpisu našli nove poslovne možnosti in možnosti za razvoj novih aplikacij, boste bolj razmišljali v pravo smer, kot pa da GDPR vidite kot nebodigatreba.

Podjetje posluje po več državah EU. Bo zaradi enotnejših pravil laže?

Da bo laže, smo mislili in si želeli vsi, ki se ukvarjamo z varstvom osebnih podatkov, a po prebiranju novih zakonov, ki so jih nekatere države članice že sprejele (Nemčija, Avstrija, Madžarska), nekatere pa objavile njihove osnutke, med temi je tudi Slovenija, se bojim, da ne bo tako, kot so si v Bruslju želeli. Več kot očitno bodo med nacionalnimi zakoni obstajale velike razlike predvsem v delih, ki jih GDPR ne ureja. Slovenski osnutek tako še vedno dodatno ureja videonadzor in biometrijo, nemški ima recimo celo poglavje o zasebnosti na delovnem mestu (tega jaz osebno pogrešam tudi v osnutku ZVOP-2) ... Res pa je, da se bo v vseh državah članicah vendarle morala uporabljati uredba,

12 VAROVANJE PODATKOV

ki bo krovni akt tudi za delo nadzornih organov. Ali se bo uporabljala enotno, pa je že drugo vprašanje.

Kakšne bodo dejanske obveznosti malih in srednjih podjetij? Ta jih bodo seveda imela manj?

Odvisno od tega, kakšne zbirke osebnih podatkov imajo in kako »agresivno« obdelujejo podatke v njih. Praviloma bodo seveda velika podjetja imela več težav in več obveznosti, a tudi mala podjetja bodo morala revidirati privolitvene obrazce, kjer je privolitev temelj za obdelavo podatkov, spopasti se bodo morala s prenosljivostjo podatkov (data portability), imeti vzvode in akcijske načrte za primere vdorov v zbirke. Osebno menim, da bo največ težav pri podjetjih, ki so že skočila v polje vedenjskega oglaševanja (predvsem pri tistih, ki imajo klube ugodnosti), in pri ponudnikih oblačnih in drugih IT-storitev.

Pri osebnih podatkih se pojavlja tudi profiliranje. Kaj mora podjetje storiti, če se pokaže, da profilira?

Prvič imamo v pravnih aktih, ki definirajo varstvo osebnih podatkov, končno tudi opredelitev profiliranja. GDPR določa takole: »Oblikovanje profilov« pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika. Mogoče si boste lažje predstavljali, če si vsak posamezen profil konkretnega posameznika predstavljate kot škatlico, v katero iz vseh zbirk, ki jih imate, vnašate vse podatke zgolj tega enega posameznika. Na podlagi teh podatkov v škatlici nato izdelate analizo in ugotovite, kaj mu morate ponuditi in česa mu nikakor ne smete, če govorim o oglaševanju; ali mu boste dali posojilo, če ste banka; mu dvignili ali znižali premijo, če ste zavarovalnica, in tako naprej. Profiliranje je torej v glavnem spremljanje vedenja posameznika ob uporabi produktov ali storitev, programov ali naprav, in to vedenje nato uparjate s podatki, ki kažejo na njegove lastnosti, razmerja in stanja (je poročen, ima tri otroke in avto, recimo – v profil pa mu na podlagi analize dodate še podatek, da vozi hiter avto, da se otroci ukvarjajo s športom ...). Profiliranja pa, zapomnite si, ne smete izvajati brez privolitve oziroma soglasja posameznika. Če se izkaže, da profilirate, morate imeti pooblaš­čeno osebo za varstvo podatkov in obvez­ nost izvajanja presoje učinkov na varstvo osebnih podatkov. Pred začetkom obdelave!

Bo kmalu čas še za nekaj glavobolov? Morda ne bo odveč opomnik, da čakamo še na uredbo o zasebnosti in elektronskih komunikacijah, ki bi morala bit sprejeta do maja 2018, a se bojim, da ne bo. Ta uredba bo na novo uredila neposredno e-trženje in piškotke.


GDPR portal

Na enostaven način skladni z uredbo.

Cilj nove uredbe je omogočiti ljudem nadzor nad njihovimi osebnimi podatki, za upravljavce in obdelovalce pa to pomeni, da moramo vsakemu lastniku osebnih podatkov zagotoviti možnost zahteve za:

• vpogled v osebne podatke, • spremembo osebnih podatkov, • prenos osebnih podatkov, • pozabo osebnih podatkov, • nastavitve soglasij za upravljanje z osebnimi podatki, • nastavitve dovoljenj za komuniciranje prek posameznih kanalov.

Ključen razmislek za upravljavce in obdelovalce je, kako ljudem zagotoviti njihove pravice.

GDPR portal vam omogoča, da že danes lastnikom osebnih podatkov zagotovite njihove pravice, skladno s Splošno uredbo o varstvu podatkov.

Razvili smo portal, kjer vsakdo z avtentikacijo prek elektronske pošte ali GSM številke ali digitalnega certifikata ali piškotka vpogleda v svoje osebne podatke pri upravljavcu ter uveljavlja ostale pravice v skladu z novo uredbo. Glede na kompleksnost okolja je proces lahko ročen ali popolnoma avtomatiziran, zato je rešitev primerna različnim tipom in potrebam upravljavcev in obdelovalcev. • oblačna rešitev je namenjena vsem, ki upravljajo s preprostimi procesi in malo osebnih podatkov, • za vse, ki že uporabljajo ali imajo neman uporabljati Microsoft Dynamics CRM, je rešitev del CRMja, pri čemer so procesi lahko v celoti avtomatizirani, • v okoljih s kompleksnimi procesi in po meri prilagojenimi zalednimi sistemi rešitev skupaj s partnerji SRC, CRMT in ADD povežemo z internimi sistemi.

GDPR portal ljudem na enostaven način omogoča, da imajo pregled in moč nad svojimi podatki, upravljavcem in obdelovalcem pa, da so brez dolgotrajnih in mukotrpnih internih usklajevanj skladni z uredbo. Kako rešitev deluje, preverite na www.frodx.com/gdpr.


POOBLAŠČENEC:

kdo je in ali ga vaše podjetje nujno potrebuje

Špela Mikuš

spela.mikus@finance.si

E

na izmed večjih novosti, ki jih prinaša nova splošna uredba o varstvu osebnih podatkov, je pooblaščena oseba za varstvo osebnih podatkov. A naj vas nekoliko pomirimo: ne boste ga potrebovala vsa podjetja. Banke, spletne trgovine, vsi tisti, ki profilirate svoje stranke, vsi tisti s klubi zvestobe – vi ga boste potrebovali. Preverite pa, ali se vam ga bo splačalo zaposliti. Če pooblaščenec ne bo pri vas imel za polnih osem ur dnevno dela, se vam ga bo bolj splačalo najeti kot zunanjega sodelavca. Pooblaščena oseba za varstvo osebnih podatkov (po angleško je to Data Protection Officer ali krajše DPO) je tista, ki bo morala obdelovalcu ali upravljavcu osebnih podatkov neodvisno (!) pomagati pri zagotavljanju skladnosti obdelave osebnih podatkov s splošno uredbo o varstvu osebnih podatkov (GDPR) in novim zakonom o varstvu osebnih podatkov (ZVOP-2).

Pooblaščenec bo tisti, ki bo spremljal, kako skladni ste z GDPR

Pooblaščenec bo tako moral upravljavca ali obdelovalca osebnih podatkih obveščati o njegovih obveznostih na področju varstva osebnih podatkov, spremljati skladnost z uredbo in drugimi zakonskimi določbami, povezanimi z varstvom osebnih podatkov. To vključuje tudi denimo usposabljanje osebja obdelovalca osebnih podatkov. Pooblaščenec bo tudi tisti, ki bo moral sodelovati z nadzornim organom in biti kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov. S pomočjo odvetnice Nataše Pirc Musar smo pogledali še nekaj obveznosti, ki jih prinaša nova 14 VAROVANJE PODATKOV

SHUTTERSTOCK

Vsi ga ne boste potrebovali, a preverite, ali sodite med tista podjetja, ki ga bodo morala imeti. funkcija pooblaščenca in predvsem, kako veste, ali v podjetju sploh potrebujete DPO.

Če profilirate svoje stranke, si morate najti pooblaščenca

Uredba določa, da morajo pooblaščenca imeti vsi upravljavci in obdelovalci zbirk osebnih podatkov, kadar: ○ obdelavo podatkov opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ (torej zlasti šole, vrtci, muzeji, knjižnice, javne agencije, zdravstveni domovi, bolnišnice …); ○ vaše temeljne dejavnosti zajemajo tudi oblikovanje profilov posameznikov na podlagi več zbirk osebnih podatkov in več konkretnih osebnih podatkov, ki so v teh zbirkah. Tu ste zajeti vsi, ki se ukvarjate s trženjem, ki storitve oblikujete na podlagi preferenc in zmožnosti posameznika. Torej banke, zavarovalnice, tisti s klubi zvestobe, spletne trgovine, turistične agencije, trgovine, ki tržite svoje produkte na podlagi preferenc svojih kupcev, kadrovske agencije in tako naprej. Sem sodite tudi upravljavci in obdelovalci velikega podatkovja (big data); ○ vaše temeljne dejavnosti zajemajo obsežno obdelavo posebnih vrst podatkov, ki so vsi občutljivi osebni podatki (po novem zakonu so to posebne vrste osebnih podatkov), kot jih določa prvotni zakon o varstvu osebnih podatkov (ZVOP-1), ter obdelavo genetskih in vseh biometričnih podatkov za namene edinstvene identifikacije posameznika. Med drugim so to vse politične stranke in sindikati, zasebne zdravstvene institucije ter zdravniki in zobozdravniki


Če imate zbirk veliko, če profilirate, če imate v zbirkah posebne oziroma občutljive zbirke osebnih podatkov, potem bo pooblaščenec imel dela za osem ur na dan, pravi odvetnica Nataša Pirc Musar.

koncesio­narji, fizioterapevti (…), druge zdravstvene institucije so zajete že v prvi alineji. Sem sodijo tudi tisti, ki osebne podatke obdelujejo v zvezi s kazenskimi obsodbami in prekrški. Če ste med omenjenimi, je še čas, da pooblaščenca najdete ali imenujete nekoga iz podjetja. Ta obveznost pod istimi pogoji velja tudi za pogodbene obdelovalce.

Ne, ni vam treba nujno ustvariti novega delovnega mesta

C

M

Če imate zbirk veliko, če profilirate, če imate v zbirkah posebne oziroma občutljive zbirke osebnih podatkov, potem bo dela za osem ur na dan več kot dovolj. Če pa to ni vaše temeljno poslovanje, a se obdelava osebnih podatkov v vaših zbirkah vseeno nanaša na omenjene kategorije, vendarle razmislite, ali ni ceneje in bolj učinkovito pooblaščenca najeti. Vaš zunanji pooblaščenec je lahko tudi podjetje, ki ponuja to storitev.

Y

CM

MY

CY

CMY

K

Imate več družb, tudi po EU. Potrebujete v vsaki drugega pooblaščenca?

Preprosto povedano, ne. A seveda so tu pogoji, ki jih je treba izpolniti. Povezane družbe imajo lahko eno pooblaščeno osebo za varstvo podatkov, a le, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote. Paziti morate tudi, da je ta oseba v organigram vseh podjetij umeščena takoj pod vodstvo. Pooblaščenec mora biti svetovalec vodstva in »nebodigatreba«, ki opozarja na napake.

Bo ena oseba lahko pooblaščenec za več podjetij?

Praviloma ne. GDPR enega pooblaščenca dopušča le za povezane družbe. Dodaja pa vendarle eno izjemo, in sicer imajo lahko skupnega pooblaščenca upravljavec ali obdelovalec, ali pa združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev. Pooblaščena oseba za varstvo podatkov tako lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce. VAROVANJE PODATKOV 15


ČE SE NE BOSTE DRŽALI UREDBE, VAS LAHKO UDARIJO VISOKE KAZNI Špela Mikuš

spela.mikus@finance.si

S

plošna uredba o varstvu osebnih podatkov predvideva zelo visoke kazni. Tudi nad deset milijonov evrov. A naj vas pomirimo: gre za maksimalne zneske. Odločitev, kakšna kazen za kršitev vas bo doletela, bo v rokah informacijskega pooblaščenca. Kot je zapisano v osnutku novega zakona o varstvu osebnih podatkov, bo informacijski pooblaščenec tudi tisti, ki bo izvajal inšpekcijski nadzor, nadzor nad zakonitostjo obdelave osebnih podatkov v skladu z določbami zakona ... Imel bo možnost odločati o postopkih pri kršitvah uredbe in zakona o varstvu osebnih podatkov (ZVOP-2).

Kaj določa uredba?

Uredba določa zelo visoke kazni. A pozor, to so maksimalni zneski. Torej je verjetno, da tako visokih kazni ne boste videli. Najvišje predpisane globe so milijonske. Tu govorimo o kaznih do 20 milijonov evrov ali do štiri odstotke letnega prometa, odvisno od tega, kateri znesek je višji.

In kaj pravi naša zakonodaja?

Če ste upali, da bo novi slovenski zakon o varstvu osebnih podatkov pri globah bolj prizanesljiv, vas moramo žal razočarati. Tudi naša zakonodaja namreč upošteva že v uredbi predpisane kazni. Kot pojasnjujejo na pravosodnem ministrstvu, je to zdaj zavezujoče pravo EU za Slovenijo, hkrati pa dodajajo, da take kazni niso v interesu slovenskega gospodarstva niti niso sorazmerne. A dodajmo, zunaj je (v času pisanja tega članka) le osnutek novega zakona o varstvu osebnih podatkov. Zato na ministrstvu dodajajo, da se bo v nadaljevanju priprave predloga zakona (po prejetih pripombah in predlogih iz javne razprave) videlo, kaj od splošnih določb glede kaznovanja lahko še prenesejo v ZVOP-2, »tako da bi morda olajšali odločanje informacijskega pooblaščenca v smer, da pri kaznih ne bi šlo primarno za globe«.

Če izvajate videonadzor, to jasno označite

Se pa ZVOP-2 dotika tudi nekaterih področij, ki jih v GDPR ni, denimo videonadzora in biometrije. Zato so tu tudi globe določene ločeno. Če denimo 16 VAROVANJE PODATKOV

20 4%

milijonov evrov je najvišja predpisana kazen po GDPR ali odstotke letnega prometa. pravilno ne označite, da izvajate videonadzor (to mora biti vidno, pisno ali grafično jasno, z nazivom tistega, ki ga izvaja in s telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki), vas lahko doleti globa med štiri in 12 tisoč evri. Kazni so predpisane tudi, če videonadzor izvajate v podjetju (tega lahko izvajate le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi, premoženja ali tajnih podatkov, poslovnih skrivnosti). Če to kršite in zaposlenih ne obvestite, da ta nadzor izvajate, lahko podjetje tudi v tem primeru doleti kazen med štiri in 12 tisoč evri.


5

korakov, ki jih morate upravljavci dokumentacije narediti že letos

1.

Minimizirajte obseg obdelave podatkov GDPR omejuje obdelavo osebnih podatkov na najmanjši obseg, ki je nujen za namen obdelave. Svoje delo v povezavi z varstvom podatkov si boste bistveno olajšali, če boste minimizirali količino zbranih podatkov, njihove obdelave, obdobje njihove hrambe in število obdelovalcev.

2.

Preverite, ali ste izbrali zanesljive pogodbene obdelovalce GDPR izrecno zahteva, da izberete zanesljive pogodbene obdelovalce. Priporočljivo je, da obdelovalci zanesljivost izkazujejo z ustrezni-

mi certifikati, od tistih, ki so na novo predvideni z GDPR, do obstoječih, kakršna sta na primer standard vodenja varovanja informacij ISO 27001 in standard vodenja kakovosti ISO 9001. Ti certifikati izkazujejo urejenost poslovanja pogodbenega obdelovalca in dokazano raven kakovosti in varovanja informacij. Pri pogodbenih obdelovalcih ne gre le za zaupanje v varnostne postopke in ukrepe, temveč tudi za zanesljivost, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov ter njihovo stanovitnost. Ponudnik, ki je specializiran za elektronsko hrambo in spremljevalne storitve, pri tem kombinira znanje in zahteve s področja varstva dokumentarnega in arhivskega gradiva, informacijskih rešitev ter varnostnih zahtev za varovanje sistemov in podatkov, zlasti za varovanje osebnih podatkov.

3.

Prilagodite pogodbe s pogodbenimi obdelovalci (zahteva 28. člen GDPR). Že ZVOP-1 zahteva, da upravljavci z obdelovalci, ki za vas obdelujejo osebne podatke, sklenete pogodbo o obdelavi osebnih podatkov. Ker GDPR uvaja nove zahteve glede vsebine pogodb, se zahteva njihova prenova. Nove pogodbe morajo določati vsebino in trajanje obdelav, naravo in namen obdelav, vrste osebnih podatkov, ki se obdelujejo, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice obdelovalca.

4.

Preverite in prilagodite popis zbirk osebnih podatkov – evidence dejavnosti obdelave (zahteva 30. člen GDPR). Če podatke redno obdelujete, jih morate ustrezno varovati, zato pa morate najprej točno vedeti, kje in katere imate. GDPR zahteva zapis evidenc dejavnosti obdelave, v okviru katerih identificiramo in navedemo vrste osebnih podatkov in posebnih osebnih podatkov. Iz evidenc mora biti razviden tudi zakoniti namen obdelave in, kadar je mo-

Tjaša Krisper Kutin iz podjetja Mikrocop svetuje, da v projekt prilagoditve vključite vse pogodbene obdelovalce podatkov. »Le skupaj z njimi lahko zagotovite učinkovite organizacijske in tehnološke rešitve, ki bodo v vaše poslovanje prinesle najvišjo raven varnosti in omogočile upravljanje dokumentov skladno z vsemi zakonodajnimi zahtevami.« goče, predviden rok za izbris različnih vrst podatkov. Kadar je mogoče, morajo evidence vsebovati tudi splošni opis tehničnih in organizacijskih varnostnih ukrepov.

5.

Preverite, ali boste morali izvajati ocene učinka (zahteva 35. člen GDPR) Za primere, kjer bi lahko obdelava podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, GDPR zahteva, da upravljavec opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Ocena učinka v zvezi z varstvom podatkov se zahteva zlasti v primeru samodejnih, sistematičnih obdelav in ocenjevanja osebnih podatkov. Zahteva se tudi v primeru obsežnih obdelav posebnih vrst podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ter obsežnega sistematičnega spremljanja javno dostopnega območja.

www.mikrocop.com

Promocijsko besedilo

Nova splošna uredba o varstvu podatkov (GDPR) od upravljavcev zahteva vgrajeno in privzeto varstvo osebnih podatkov, zagotovitev preglednih in enostavno dostopnih informacij o obdelavi podatkov, vpeljavo evidenc obdelav in izvajanje predhodnih ocen učinka. Velik del podatkov se nahaja v dokumentih, zato je varstvo osebnih podatkov neposredno povezano tudi z upravljanjem in arhiviranjem dokumentov. V Sloveniji do sprejema novega zakona o varstvu osebnih podatkov (ZVOP-2) področje varstva osebnih podatkov ureja ZVOP-1, ki je postavil zelo dobre temelje varstvu podatkov, ni pa uvedel resnih sankcij za primere zlorab. Zato je glavno vprašanje, v kolikšni meri ste že doslej upoštevali obstoječo zakonodajo in kako ste imeli urejene odnose s pogodbenimi obdelovalci. »V organizacijah, kjer podatke že obdelujete in varujete povsem v skladu z veljavno zakonodajo, ste lahko mirni, saj spremembe niso tako obsežne, da se nanje ne bi mogli ustrezno pripraviti,« pravi Tjaša Krisper Kutin, produktna vodja za strokovno svetovanje v podjetju Mikrocop. Sogovornica predlaga pet korakov, ki jih morate upravljavci dokumentacije narediti že letos, da se boste lahko drugo leto pravočasno prilagodili zahtevam nove evropske uredbe.


OCENA UČINKA ZA VARSTVO PODATKOV: KDO JO POTREBUJE sporočilu klikne, koliko časa posveti posamezni novici (…) – potem oceno potrebujete. Tudi če imate klub zvestobe, kjer sistematično beležite vse nakupe in morda temu prilagajate ponudbo, oglase, bo najverjetneje treba imeti oceno učinka za varstvo osebnih podatkov. »Če se v podjetju zanjo ne odločite, bo koristno, če boste znali pojasniti, zakaj ste se tako odločili,« pojasnjuje Jamnik.

Špela Mikuš

spela.mikus@finance.si

O

cena učinka v zvezi z varstvom osebnih podatkov ni nujna za vsako obdelavo osebnih podatkov. Kot piše v uredbi o varstvu osebnih podatkov, je ta ocena potrebna, »kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov«. Poenostavljeno povedano, če enkrat letno pošljete e-novice svojim strankam, te ocene nujno ne potrebujete. Uredba opisuje nekaj primerov, kdaj je zahtevana ocena učinka v zvezi z varstvom podatkov. Tako jih našteva pravnik Matija Jamnik iz JK Group: ○ sistematično in obsežno vrednotenje osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno s profiliranjem, in je podlaga za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo, denimo avtomatizirano odločanje o (ne)dodelitvi posojila na banki; ○ obsežna obdelava posebnih vrst podatkov (dozdajšnji občutljivi osebni podatki); ○ obsežno sistematično spremljanje javno dostopnega območja, denimo videonadzor.

Če spremljate navade kupca in se jim prilagajate, boste oceno najverjetneje potrebovali

Vsi ocene ne boste potrebovali. Če denimo nekajkrat na leto (pri tem velikost podjetja ni pomembna) svojim strankam pošljete e-novice, ocene učinka ne potrebujete, pravi Jamnik. In ob tem dodaja, da je drugače, če sistematično spremljate, kdo odpre sporočilo, na katere povezave v tem

Ocena učinkov je lahko potrebna za obdelavo z VELIKIM TVEGANJEM ○ Samodejna sistematična obdelava in ocenjevanje osebnih podatkov. ○ Nove tehnologije. ○ Obsežen nadzor nad javno dostopnimi območji (denimo CCTV). ○ Obdelava velikih količin občutljivih (na primer biometričnih) podatkov. Vir: evropska komisija

18 VAROVANJE PODATKOV

Bolje preventiva kot kurativa

Tudi bolnišnica, ki obdeluje zdravstvene podatke svojih pacientov, bo potrebovala oceno učinka v zvezi z varstvom osebnih podatkov. To je eden izmed primerov, ki ga omenja delovna skupina za izmenjavo informacij in varstvo podatkov (Delovna skupina 29 – Article 29 Working Party – WP29), v kateri so združeni nadzorni organi za varstvo osebnih podatkov v EU. Ta je sicer zavzela več stališč do uredbe o varstvu osebnih podatkov, med drugim tudi do ocene učinka. Zapisali so priporočilo, da ko ne veste, ali oceno učinka nujno potrebujete, to vseeno izvedete, če ne drugega zato, da preverite skladnost z uredbo.

Če se v podjetju za oceno učinka za varstvo podatkov ne odločite, bo koristno, če boste znali pojasniti, zakaj ste se tako odločili, pojasnjuje pravnik Matija Jamnik, JK Group.

Kaj mora ocena vsebovati?

Kot je zapisano v uredbi, mora ocena učinka za varstvo osebnih podatkov vsebovati več komponent. Tako jih našteva Jamnik: ○ ocena mora zajemati vsaj sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si prizadeva upravljavec; ○ oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; ○ oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ○ ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti z uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Ne, ne potrebujete je vsakič, ko pošljete e-novice »Osebno uredbo razumem tako, da je oceno treba pripraviti pred vsako spremembo načina obdelave osebnih podatkov. Verjetno je to želel povedati tudi pisec osnutka novega zakona o varstvu osebnih podatkov z 'novo obdelavo'. Menim, da tega nikakor ni mogoče razlagati na način, da gre za novo obdelavo vsakič, ko denimo dostopam do CRM-aplikacije podjetja, ali vsakič, ko pošljem e-novice,« pojasnjuje Jamnik.


Recept je relativno preprost. Če podjetju zakonodaja ali regulativa nalagata vpeljavo tega ali onega – v našem primeru gre za rešitev za upravljanje podatkov, potem jo velja vpeljati tako, da bo od nje podjetje imelo čim več koristi. Strokovnjaki vemo, da je mogoče rešitve za upravljanje podatkov v poslovna okolja vpeljati na dva načina – na takšnega, ki bo zgolj zadostil črki zakona, in tistega, ki bo poskrbel, da bo podatkovna platforma še kako uporabna za analitični del podjetja. GDPR ne spreminja (skoraj) ničesar ali pa prav vse Veliko vprašanj dobimo, ali podjetje za upravljanje s podatki potrebuje posebno programsko opremo? Da in ne. Ne zato, ker je zadeva rešljiva tudi v npr. Excelu, če podjetje obvlada svoj posel. In da, zato, ker je večinoma to lažje. A tisto, kar je najbolj pomembno, je dejstvo, da je treba upravljanje podatkov in skrb zanje najprej razumeti, potem ju lahko podjetje v svoje okolje implementira z različnimi orodji. Podjetje mora torej vložiti energijo v razumevanje cilja, kako in zakaj pravzaprav dela s podatki. Prav tako je odločitev, kako in kdo bo zadevo implementiral, stvar podjetja. Nekatera bodo področje dela s podatki uredila sama, druga s pomočjo strokovnjakov*. Začnite z analizo vrzeli Podjetja morajo najprej ugotoviti, kje in koliko jih uredba GDPR sploh zadeva. Torej morajo identificirati procese, aplikacije in zaledne sisteme, ki uporabljajo osebne podatke. Šele nato lahko preverijo/analizirajo, kaj že premorejo in kaj jim še manjka.

Jure Jeraj, arhitekt rešitev za poslovno obveščanje in podatkovnih skladišč v podjetju Result GDPR upravljanje podatkov naslavlja večplastno, triplastno, če sem natančen. Za vsako področje so zadolženi drugi strokovnjaki. Pravne zadeve rešujejo pravniki, programske pa skrbniki oziroma proizvajalci poslovnih aplikacij. A za temelje, torej delo s podatki v hiši, mora poskrbeti podjetje samo, pri čemer si seveda lahko pomaga s strokovnjaki za upravljanje podatkov. Najbolje bo, če se vsi zgoraj našteti usedejo za isto mizo in dogovorijo, kako bodo uredili posamezna področja. Naredite korak naprej Desetletja izkušenj in poslovne prakse so nas naučila, da se podjetja na spremembe odzovejo na enega izmed dveh načinov. Tudi v primeru GDPR bo tako. Ali se bodo odločila za »neuporabne« rešitve, ki bodo namenjene zgolj morebitnemu obisku inšpektorjev, ali pa bodo priložnost, ki jo odpira GDPR izkoristila tako, da bo upravljanje s podatki korak naprej, k boljši izrabi podatkov in boljšim poslovnim odločitvam. Te pa navadno ustvarjajo večji dobiček, mar ne? Še nasvet: pri implementaciji rešitev za upravljanje s podatki sodelujte s strokovnjaki, da bo zadeva res uporabna, da boste delali bolje in zaslužili več. * V Resultu strankam nudimo temeljito analizo vrzeli in organiziramo skupne strokovne delavnice. Končni rezultat je knjiga oziroma vodič z receptom, kako urediti področje upravljanja s podatki, prilagojen dejanskemu poslovnemu okolju podjetja.

Promocijsko besedilo

GDPR je priložnost, izkoristite jo


VPRAŠAJTE ŠPELO Kaj vas zanima o novih pravilih glede varstva osebnih podatkov

N

ova zakonodaja s področ­ja varstva osebnih podatkov bo vplivala na veliko podjetij. Velja namreč za vsako podjetje in ustanovo, ki uporablja in kakorkoli obdeluje osebne podatke državljanov EU, in prinaša nekaj novosti, denimo pooblaščenca za varstvo osebnih podatkov. Če imate vprašanja o novi zakonodaji – vprašajte nas. Skratka, imate problem, mi za vas poiščemo rešitev! Hkrati pa je nova zakonodaja tudi obveznost za vse druge, ki bomo te strokovnjake potrebovali. Torej ne le za korporacije, ampak tudi za mala in srednja podjetja. Skratka za vse, ki imate kakršenkoli opravek z osebni podatki strank, kupcev … Vas torej zanima, kako nova pravila pri varstvu osebnih podatkov vplivajo na vaše podjetje ali dejavnost? Ali v podjetju potrebujete pooblaščeno osebo za varstvo podatkov? Ali ste vse privolitve dobili po pravilih? Morda ne veste, kako se vas tiče pravica do pozabe? Pišite nam tudi, če imate kakšna podrobnejša vprašanja, specifična za vašo dejavnost. Poskusili bomo najti odgovor tudi za bolj konkretne zagate. Vabimo vas torej, da nam pišete na elektronski naslov spela.mikus@ finance.si. Vprašanja in odgovore bomo umestili tudi v bilten Finance Podjetnik, ki vam ga vsak četrtek pošljemo na vaš e-naslov. Če nanj še niste naročeni, to lahko storite tu: https://www. finance.si/finance_podjetnik.

20 VAROVANJE PODATKOV

Ali za izdajo računa in dobavo blaga podjetje potrebuje privolitev za uporabo osebnih podatkov? Srednje veliko proizvodno podjetje za izdajo računa in dobavo blaga od svojih strank (gre za fizične osebe) zbira podatke, kot so ime in priimek, naslov, telefonska številka in e-poštni naslov. Ali potrebuje privolitev in pooblaščeno osebo za varstvo podatkov?

Informacijska pooblaščenka Mojca Prelesnik odgovarja:

Splošna uredba o varstvu podatkov določa, da upravljavec in obdelovalec pooblaščenca imenujeta, (a) ko obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ, (b) temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave podatkov, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, (c) ali temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov (gre za nekdanje občutljive osebne podatke) in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Zgoraj opisana obdelava lahko sodi pod točko b ali c. Ali potrebujejo pooblaščenca, načelno ni primarno odvisno od tega, ali je v bazi sto ali tisoč strank, ampak predvsem od tega, kateri podatki so še v zbirki poleg navedenih (denimo zgodovina nakupov in podobno), kakšna je narava temeljne dejavnosti obdelave, ki jo podjetje izvaja, in kaj podjetje s temi podatki počne (jih takoj briše po koncu nakupa in poteku rokov, ki izhajajo iz pogodbenih obveznosti v zvezi z nakupom, ali podjetje morda profilira stranke – denimo jim pošilja prilagojene ponudbe in podobno).

Ali je potrebna privolitev?

To je povsem odvisno od tega, za kakšen namen podjetje podatke o strankah, ki so fizične osebe, uporablja in dalje obdeluje. V opisanem primeru bi zgolj za namen izpolnitve pogodbe lahko zadoščala že pravna podlaga iz točke b prvega odstavka 6. člena uredbe. Ta določa, da je že na podlagi uredbe (torej brez osebne privolitve) dopustna obdelava osebnih podatkov, ki je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.


Generičen e-naslov podjetja še ne sodi med osebne podatke Podjetje nabira naslove podjetij iz javno dostopnih baz in jim pošilja svoj katalog. Ali bo to še lahko počelo brez njihove privolitve?

Informacijska pooblaščenka Mojca Prelesnik odgovarja:

Zgolj obdelava podatkov o podjetju, denimo ime podjetja, naslov podjetja in kontaktni e-naslov podjetja (če gre za generični e-naslov, denimo glavna pisarna@podjetje.si, in ne ime. priimek@podjetje.si), ne pomeni obdelave osebnih podatkov. Glede uporabe osebnih podatkov (torej podatkov o zaposlenih v podjetju) za namene neposrednega trženja pa splošna uredba o varstvu podatkov ne vsebuje izrecnih določb na način, ki bi bil primerljiv s trenutno ureditvijo na tem področju. Prav tako tega ne ureja objavljeni predlog novega zakona o varstvu osebnih podatkov. Po veljavnih predpisih je neposredno trženje po klasični pošti zgolj z uporabo osebnega imena in naslova stalnega ali začasnega prebivališča dovoljeno tudi brez osebne privolitve, če je podjetje osebne podatke posameznikov zbralo iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti. Ob pogoju, da seveda posameznik lahko kadarkoli zahteva prenehanje takšne obdelave.

Kako bo po novih pravilih z varstvom osebnih podatkov, če storitve pogodbeno ponujate v tujini Kaj se zgodi z varstvom osebnih podatkov po pravilih, ki jih uvaja nova evropska zakonodaja, če svojo storitev ponudite podjetjem v različnih državah? Če imate storitev, kjer ste pogodbeni obdelovalec osebnih podatkov in delate v imenu in za račun denimo zavarovalnice, mora pravni temelj za obdelavo podatkov zagotoviti zavarovalnica (pri njej je to nedvomno zavarovalna pogodba). Kot še pojasnjuje odvetnica Nataša Pirc Musar, to seveda pomeni, da morate imeti z vsako od zavarovalnic sklenjeno pogodbo, v kateri mora biti natančno določeno, katere osebne podatke boste obdelovali, kako in koliko časa jih boste hranili (če sploh – saj ni razloga, da podatkov ne bi takoj predali zavarovalnici, ki bo podatke uporabila za obračun škode). V tem primeru ne potrebujete privolitve strank, temveč le pogodbo z zavarovalnico o najemu vaših storitev. Dokler so to zavarovalnice znotraj EU, večjih zapletov pri pripravi in veljavnosti pogodb o pogodbeni obdelavi osebnih podatkov ni.

Kakšne so obveznosti, če pri strankah zbirate prostovoljne prispevke Podjetje zbira prostovoljne prispevke in strankam nekajkrat na leto pošlje položnico brez zneska. Istim strankam nekajkrat na leto pošlje tudi brezplačno revijo. Ali potrebujejo privolitev in pooblaščenca?

Informacijska pooblaščenka Mojca Prelesnik odgovarja:

Vse je odvisno od obdelovanih vrst osebnih podatkov in tipov obdelave. Načelno bi podjetje za opisane namene potrebovalo osebno privolitev, razen če bi lahko ustrezno utemeljilo, da gre za obdelave osebnih podatkov na podlagi zakonitih interesov (iz točke f prvega odstavka 6. člena uredbe, ki pravi, da je obdelava zakonita, ko je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki). Obveznost imenovanja pooblaščene osebe pa je odvisna od tega, v katero kategorijo obdelave sodijo aktivnosti podjetja. Če bi denimo šlo za občutljive osebne podatke ali podjetje, ki kot svoje temeljne dejavnosti ponuja storitve izvajanja oziroma upravljanja videonadzora za stranke (…), vsekakor da, če ne, potem verjetno ne.

VAROVANJE PODATKOV 21


IZZIVI, KI JIH ZA IT PRINAŠA GDPR Vlaganje v IT še nikoli ni bilo stimulirano s tako strogimi kaznimi, kot jih Evropska unija predvideva za kršitelje uredbe GDPR Jakob Žorž

G

lobe v višini do štiri odstotke letnega prihodka ali 20 milijonov evrov pomenijo finančno tveganje, ob katerem se splača vsaka naložba v tehnologije za zaščito in upravljanje varnosti osebnih podatkov. Morda še večja škoda pa je zmanjšanje ugleda podjetja zaradi kršitve zaupnosti podatkov ali njihove zlorabe s strani tretjih oseb zaradi neustrezne zaščite. Zaupanje v zakonsko skladno uporabo in zaščito podatkov je namreč temelj vseh digitalnih storitev, kamor se steka digitalna preobrazba gospodarstva, države in družbe. Naložb v tehnološke rešitve za upravljanje podatkov pa ne spodbujajo le globe, ampak tudi pričakovano povečanje zahtevkov za vpogled v osebne podatke, ki je posledica vse večje ozaveščenosti javnosti ter notranje in zunanje revizije, tako s strani regulatornih institucij kot tudi vlagateljev in poslovnih partnerjev. 22 VAROVANJE PODATKOV

GDPR je velik izziv tudi za podjetja in ustanove iz javnega sektorja, ki nimajo lastne službe za informatiko. Te organizacije že v osnovi nimajo niti kadrov niti tehnologij, s katerimi bi zadostile zahtevam GDPR. Zdravka Zalar, SmartIS

ARHIV SMARTIS

finance@finance.si


Potrebnega bo veliko znanja in tehnologij

Eden od temeljnih pristopov pri obvladovanju varnosti podatkov je upravljanje tveganj pri upravljanju varovanja informacij v skladu s standardom ISO 27001. Že izpolnjevanje zahtev tega standarda narekuje uporabo določenih organizacijskih pristopov in tehnologij. V ospredju so podjetja in javne ustanove, predvsem upravljavci kritične infrastrukture, kot so ceste in železnice, finančne ustanove pa morajo v skladu z zakonodajo vzpostaviti center za varnostne operacije, v katerem varnostni strokovnjaki skrbijo za nadzor in zaščito podatkov z različnimi tehnološkimi orodji. »Trenutno ni neke

Trenutno ni neke črne skrinjice, ki bi kot en sistem združevala vsa varnostna orodja, ki se uporabljajo za zaščito podatkov.

DENIS ROŽAN

»Vsi se zavedamo pomembnosti varnostnih rešitev, k temu je pripomogel že ZVOP-1. Uredba GDPR pa to zavedanje dviguje še na višjo, pomembnejšo raven in podjetja se morajo pri načrtovanju naložb ustrezno in hitro odzvati,« je dejal Vladimir Ban, strokovnjak za kibernetsko varnost v podjetju Smart Com. Kot pravi Ban, morajo podjetja in organizacije zagotoviti sledljivost ob zbiranju, hranjenju in obdelavi osebnih podatkov ter poročanje o varnostnih incidentih. Imeti morajo urejen dostop do podatkov ter zanesljivo in varno avtentikacijo, s čimer zagotovijo varnost osebnih podatkov, informacijskega sistema in celotnega poslovnega okolja. Še posebej morajo biti podjetja pozorna na strožje določbe glede izbrisa podatkov, pri čemer morajo za izvajanje in načrtovanje ukrepov iz GDPR izvesti oceno tveganja.

Igor Hostnik, Unistar

črne skrinjice, ki bi kot en sistem združevala vsa varnostna orodja, ki se uporabljajo za zaščito podatkov,« je povedal Igor Hostnik, direktor prodaje in marketinga v Unistarju. Z vidika tehnologije pa organizacija za zadostitev zakonskim zahtevam potrebuje celosten nabor informacijskih rešitev na področjih, kot so: ○ zaščita komunikacijskih omrežij, ○ upravljanje uporabniških identitet (dostopov in pooblastil), ○ zaščita pred zlonamernimi kodami, ○ spremljanje dejavnosti (revizijske sledi), ○ zaznavanje varnostnih incidentov, ○ maskiranje in šifriranje podatkov.

Kako se lotiti zahtev GDPR vprašanje, katere organizacijske, kadrovske in tehnološke ukrepe bo moral zavezanec izvesti, da bo njegova obdelava podatkov skladna s Splošno uredbo in drugimi relevantnimi predpisi.

Zavezanci morajo najprej identificirati in popisati osebne podatke, s katerimi upravljajo. Tej aktivnosti sledi ugotovitev zahtev za zakonsko skladno obdelavo osebnih podatkov in groženj, ki jo lahko ogrozijo. Na podlagi teh podatkov in ustrezne metodologije mora upravljavec oziroma, če so nekateri deli obdelave podatkov oddani v zunanje izvajanje, tudi obdelovalec izdelati analizo razkoraka med dejanskim in želenim stanjem varstva osebnih podatkov. Analiza mora dati jasen in natančen odgovor na

Po vsebini ukrepe delimo na organizacijske, kadrovske in tehnološke. Ukrepi morajo

Določitev ravni ukrepov za varstvo osebnih podatkov temelji na oceni tveganj za pravice in svoboščine posameznikov, katerih teža je stopnjevana glede na verjetnost uresničitve in resnost posledic za podatke. Nabor ukrepov za obvladovanje tveganj, ki nastane v okviru analize, je za zavezanca neke vrste delovni nalog za izvedbo dejavnosti, s katerimi bo vzpostavil in ohranjal zakonsko skladno raven obdelave osebnih podatkov.

biti ustrezno notranje pravno določeni in dokumentirani ter integrirani v poslovne procese, v okviru katerih se osebni podatki obdelujejo. Zavezanec z njimi seznani zaposlene, ki se morajo zavedati svojih odgovornosti za varstvo podatkov, med katerimi še posebej pooblaščena oseba za varstvo podatkov, kadar je imenovana. Rešitve in oprema morajo biti vseskozi na ravni, ki omogoča zakonsko skladno obdelavo podatkov. Ukrepe varstva osebnih podatkov lahko zavezanec uvede in vzdržuje sam, s svojimi zaposlenimi, ali z zunanjo strokovno pomočjo, ki mora biti skladna s predpisanimi zahtevami in ustrezno pogodbeno urejena. Marjan Antončič, OSI.SI

O podjetju OSI Glavne dejavnosti podjetja so izvedbene in svetovalne storitve s področja informacijske tehnologije. Delovanje podjetja je usmerjeno predvsem v storitve z visoko dodano vrednostjo, v okviru katerih izvajamo integracijo naših izkušenj in znanj s produkti vodilnih svetovnih proizvajalcev. Ena od usmeritev podjetja so tudi svetovalne storitve na področju regulative, kjer lahko ponudimo tako svetovalne storitve kakor tudi tehnološke rešitve. Več informacij lahko dobite na spletni strani www.osi.si.

Promocijsko besedilo

Do začetka uporabe Splošne uredbe o varstvu podatkov (GDPR), ki je bila sprejeta z namenom posameznikom omogočiti nadzor nad njihovimi osebnimi podatki ter poenotiti in dvigniti raven varstva osebnih podatkov v celotni EU, je še sedem mesecev. Gre za največjo reformo varstva osebnih podatkov zadnjih dvajsetih let, ki pred upravljavce in obdelovalce (zavezance) postavlja vrsto novih zahtev, in sicer tako na področju zakonitih podlag za zbiranje in obdelavo podatkov, kakor tudi na področjih varstva pravic posameznika, na katerega se podatki nanašajo, in ukrepov za zavarovanje obdelave osebnih podatkov. Kako se novih zahtev lotiti?


rabniških računov in privilegijev na ravni celotne organizacije.

TOMAŽ KOS

Uredba GDPR zavedanje o pomembnosti varnostnih rešitev dviguje še na višjo, pomembnejšo raven in podjetja se morajo pri načrtovanju naložb ustrezno in hitro odzvati.

Dobre prakse, ki se uporabljajo pri upravljanju informacijske varnosti, pa so varnostno-operativni centri za upravljanje varnostnih dogodkov, incidentov in poročanje ter za upravljanje dnevniških zapisov. Organizacije bodo za odgovor na sodobne izzive pri zaščiti podatkov morale prednostno izpeljati naložbe v novo generacijo varnostnih tehnologij, kot so požarne pregrade z mehanizmi za prepoznavo nedovoljenih dejavnosti, antivirusne rešitve z zaznavanjem anomalij pri pretoku informacij ter sistemi za preprečevanje vdorov na podlagi vzorcev tehnologije. Smiselno je, da organizacije poskrbijo tudi za zaščito pred uhajanjem oziroma izgubo podatkov, s katero na primer nadzorujejo, ali je v e-poštnih sporočilih vsebina, ki pomeni poslovno skrivnost ali je v nasprotju z varnostno politiko, ter različne rešitve za upravljanje upo24 VAROVANJE PODATKOV

Vladimir Ban, Smart Com

Sistemi za upravljanje identitet, nadzor privilegiranih pooblastil in ne nazadnje seveda tudi skrb za varovanje podatkov skozi celoten življenjski cikel so med glavnimi tehnologijami za zagotavljanje zakonske skladnosti pri zaščiti osebnih podatkov. Evgen Jamnikar, Brihteja

Povezane rešitve za DPO so, vendar jih je malo

GDPR že tako preobremenjene in kadrovsko podhranjene službe za informatiko izpostavlja novim pritiskom, tako zaradi povečanja obsega delovnih nalog kot tudi zagotavljanja ustreznih tehnoloških znanj in usposobljenosti, ki jih zahteva uvajanje novih tehnologij in poslovnoorganizacijskih ukrepov. Kot pravi Zdravka Zalar, direktorica podjetja SmartIS, je trenutno na trgu malo rešitev, ki bi pooblaščeni osebi za varstvo osebnih podatkov (data protection officer ali skrajšano DPO) na enem mestu zagotavljale relevantne podatke in učinkovito upravljanje postopkov v povezavi z osebnimi podatki. Predvsem v velikih podjetjih, kot so zavarovalnice, banke, trgovci, turistična podjetja ter drugi ponudniki blaga in storitev s programi zvestobe, bodo zato iskali predvsem povezane informacijske rešitve, ki pristojnim za zaščito podatkov omogočajo čim bolj samostojno izvajanje nalog s čim manj posredovanja interne službe za informatiko oziroma zunanjih ponudnikov informacijskih rešitev in storitev za zaščito podatkov. »GDPR je velik izziv tudi za podjetja in ustanove iz javnega sektorja, ki nimajo lastne službe za informatiko. Te organizacije že v osnovi nimajo niti kadrov niti tehnologij, s katerimi bi zadostile zahtevam GDPR,« je dejala Zalarjeva. Po njenem mnenju bodo za take organizacije prišle v poštev predvsem zunanje storitve informacijskih rešitev za DPO kakor tudi zunanje izvajanje same funkcije DPO.

Upravljanje identitet je med temeljnimi zaščitnimi ukrepi Obvladovanje življenjskega cikla informacij, vključno z osebnimi podatki, narekuje tudi obvladovanje življenjskega cikla identitet. Organizacije morajo v vsakem trenutku vedeti, kdo ima pooblastila za dostop do določenih sistemov in do kdaj so ta pooblastila veljavna. Gre bodisi za zaposlene, ki uporabljajo različne poslovne aplikacije, bodisi zunanje uporabnike, na primer poslovne partnerje, bodisi končne stranke, ki uporabljajo različne spletne in mobilne aplikacije. Organizacija mora ob tem imeti vzpostavljene tudi postopke za ustrezno potrjevanje in periodično pregledovanje dodeljenih pooblastil. »Sistemi za upravljanje identitet, nadzor privilegiranih pooblastil in ne nazadnje seveda tudi skrb za varovanje podatkov skozi celoten življenjski cikel so med glavnimi tehnologijami za zagotavljanje zakonske skladnosti pri zaščiti osebnih podatkov,« je poudaril Evgen Jamnikar, vodja skupine za implementacijo rešitev s področja upravljanja identitet v podjetju Brihteja. Obvladovanje identitet se danes srečuje z zahtevnimi izzivi računalništva v oblaku, ker se osebni podatki hranijo tudi na lokacijah zunaj podjetja, na primer zaradi varnostnega shranjevanja podatkov ali zaradi razširjanja uporabe informacijskih rešitev iz oblaka.


Cisco Umbrella – prva linija obrambe pred grožnjami Podjetja, ki so že začela delati za skladnost z novo splošno uredbo GDPR, iščejo rešitve za upravljanje, obdelavo in varovanje podatkov. Nemalokrat pa pozabijo, da jim vsi ti podatki »švigajo« po omrežju, kjer so izpostavljeni različnim nevarnostim.

Dopolnitev požarnih pregrad Podjetja vseh velikosti danes že uporabljajo različne (napredne) požarne pregrade, ki so na točki med internim omrežjem organizacije in internetom. Povečan obseg kriptiranega prometa, rast rabe poslovnih oblačnih aplikacij, raba osebnih pametnih naprav za poslovne namene in različne mobilne rešitve pa so poskrbele, da je varnostnih tveganj v sodobnih organizacijah vse več, zato zgolj vpeljava požarne pregrade ni več dovolj za zagotavljanje informacijske varnosti.

»Večina rešitev za varovanje celotnega omrežja, naprav in uporabnikov je že integrirana v nove družine naprednih stikal in usmerjevalnikov Cisco,« pravi Benjamin Kic iz podjetja Ingram Micro Ljubljana. Cisco stavi na tako imenovani varnostni dežnik. Cisco Umbrella je oblačna varnostna platforma, ki pomeni prvo linijo obrambe pred grožnjami za vse naprave uporabnikov, ne glede na to, kje so – znotraj ali zunaj omrežja podjetja (brez povezave VPN). Cisco Umbrella ubija več muh na en mah – pozna namreč povsem sveže informacije o napadih in ranljivostih, je stalno posodabljana, podjetja pa za njeno rabo ne potrebujejo dodatne lastne infrastrukture. Rešitev namreč podrobno spremlja komunikacijo vseh naprav v omrežju in ob zaznavi povezav na nevarne, zlonamerne strežnike ter navzočnost škodljivih kod te blokira. Cisco Umbrella se lahko poveže s požarnimi pregradami naslednjih generacij, s katerimi si deli varnostne informacije in proaktivno varuje

Dodatna proaktivna razsežnost varnosti Realnost v svetu IT je precej kruta, posebej ko je govor o informacijski varnosti. Obremenjenost zaposlenih v oddelku IT ter pomanjkanje časa in nadzora nad napravami privedeta do tega, da so predvsem večja in kompleksna omrežja lahko bolj ranljiva. Cisco podjetjem z veliko uporabniki in napravami ponuja dodatne varnostne rešitve, kot sta Cisco Identity Services Engine (ISE) in Cisco Stealthwatch. Prva omogoča omejevanje dostopov uporabnikov, osebnih računalnikov, tiskalnikov, telefonov, virtualnih naprav glede na fizične lokacije, iz katerih naprave dostopajo do omrežja. Tako lahko zelo granularno in skladno z varnostnimi predpisi podjetje uredi dostop do svojega omrežja in preventivno prepreči vrsto možnih zlorab. V kombinaciji s požarnimi pregradami naslednje generacije (NGFW) lahko ISE morebitno sumljivo napravo, povezavo ali kodo samodejno prestavi v »omrežje v karanteni«, kjer nima več dostopa do kritičnih sistemov in podatkov, ter jo dodatno analizira. Cisco Stealthwatch podjetju pomaga pri podrobni analizi prometa znotraj omrežja in opozarja na anomalije, ki kažejo na varnostne luknje. Analizira ves promet, ki poteka na informacijski infrastrukturi, vse, kar ne kaže na normalno delovanje omrežja, pa poudari kot nevarnost.

Promocijsko besedilo

Omrežje je pravzaprav hrbtenica digitalnega poslovanja sodobnih podjetij. In prav omrežje je pogosto prva tarča napadov hekerjev, saj z dostopom do omrežja pridobijo možnost iskanja najrazličnejših informacij in virov podatkov. Uredba GDPR podjetjem nalaga tudi jasno in javno obveščanje o zlorabah podatkov. V preteklosti so podjetja varnostne incidente, kraje podatkov in morebitne informacijske vdore lahko zadržala zase, zdaj pa morajo vse kraje ali zlorabe osebnih podatkov strank v 72 urah sporočiti organom pregona in o težavah obvestiti tudi stranke, katerih podatki so bili zlorabljeni. Načrtovanje varovanja podatkov tako postaja vse bolj zahtevno. Podjetja sicer uporabljajo varnostne rešitve na podatkovnih strežnikih in požarno pregrado v omrežju, a to nikakor nista zadostna ukrepa – predvsem pa podjetju ne znata nič povedati o vdoru ali škodljivi kodi, ki sta ju zaobšla. Poleg zagotavljanja varnosti podatkov, ki jih podjetje hrani, to potrebuje tudi vpogled v dogajanje v omrežju. Varnostni strokovnjaki poudarjajo, da bosta na svetu kmalu obstajali le dve vrsti podjetij – tista, ki so že doživela vdor, in tista, ki so doživela vdor ali napad, a se tega sploh ne zavedajo. »Družba Cisco Systems je specialist s področja kibernetske varnosti in strankam zagotavlja informacijsko varnost pred napadom, med njim in po njem. Ponujamo lokalne, virtualizirane ter oblačne rešitve za varovanje celotnega omrežja, naprav in uporabnikov, večina njih je že integrirana v nove družine naprednih stikal in usmerjevalnikov Cisco,« pravi Benjamin Kic iz podjetja Ingram Micro Ljubljana.

omrežje, prav tako pa lahko za daljša obdobja hrani vse informacije o napravah, povezanih v omrežje. Ob ugotovljenem vdoru lahko raziskovalna ekipa hitro preveri vso komunikacijo naprav v omrežju.


Na kratko o GDPR Nekaj kratkih nasvetov o tem, česa se morate držati pri varstvu osebnih podatkov Vir: evropska komisija

Komunikacija Izražajte se preprosto. Ljudem povejte, kdo ste in kdaj zahtevate podatke. Razložite, zakaj obdelujete njihove podatke, koliko časa jih boste hranili in kdo bo imel dostop do njih.

Soglasje Pridobite izrecno soglasje za obdelavo podatkov. Pridobivate podatke od otrok? Preverite starostno mejo za soglasje staršev.

Dostop in prenosljivost Omogočite ljudem, da dostopajo do svojih podatkov in jih posredujejo drugim podjetjem.

Opozorila Obvestite ljudi o kršitvah varstva podatkov, če za to obstaja resna nevarnost.

!

Izbris podatkov Omogočite ljudem »pravico do pozabe«. Na njihovo zahtevo izbrišite njihove osebne podatke, a le, če to ne ogroža svobode izražanja ali možnosti raziskovanja.

26 VAROVANJE PODATKOV


Profiliranje Če za obdelavo podatkov za pravno zavezujoče sporazume, na primer posojila, uporabljate profiliranje, morate: o tem obvestiti stranke, zagotoviti, da v primeru zavrnitve vloge proces preveri oseba, ne stroj, dati vlagatelju pravico do ugovora zoper odločitev.

Trženje Omogočite ljudem, da zavrnejo neposredno trženje, ki uporablja njihove podatke.

Varovanje občutljivih podatkov Uporabljajte dodatne zaščitne ukrepe za podatke o zdravju, rasi, spolni usmerjenosti, veroizpovedi in političnih prepričanjih.

Prenos podatkov zunaj EU

Obdelujete podatke za drugo podjetje? Imejte sklenjeno brezhibno pogodbo, v kateri so navedene obveznosti obeh strank.

Če prenašate podatke v države, ki jih organi EU niso odobrili, poskrbite za ustrezno pravno ureditev.

130

milijonov evrov stroškov so imela podjetja v EU z obveščanjem 28 različnih organov za varstvo podatkov po starem sistemu.

2,3

milijarde evrov gospodarskih koristi naj bi prinesla enotna zakonodaja. VAROVANJE PODATKOV 27


KAKO BO GDPR OZIROMA ZVOP-2 VPLIVAL NA NAŠE DELO? Andraž Štalec finance@finance.si

M

edtem ko se je prah, ki ga je povzročil ZEKom-1 in posledično uredba o piškotkih, ravno dodobra polegel, je evropska komisija za nas pripravila že naslednjo pošiljko v obliki GDPR (General Data Protection Regulation). Naši zakonodajalci so jo »preoblikovali« v ZVOP2 (trenutno je objavljen osnutek zakona) in ta je po slovenskih podjetjih že dvignil precej novega prahu. A ne bojte se preveč. GDPR ni tako grozen, kot je videti. Resda prinaša precej novosti in sprememb, ki bodo podjetjem vsilile nova pravila, a hkrati bo na trgu ustvaril več preglednosti in jasnosti, predvsem za končne uporabnike. Globalna, pa tudi slovenska podjetja zbirajo vse več podatkov o uporabniki in kupcih (v nadaljevanju bom vse skupaj imenoval kar »uporabniki«) ter jih nato bolj ali manj uspešno uporabljajo v različne namene. Vse v imenu napredka, personalizacije in izboljšanja poslovanja. O uporabnikih vemo vse več. Vsaj tako se nam zdi. Moje osebno stališče je, da bi podatki (vsaj nekateri) morali biti transparentni. Če podjetje hrani določene podatke o uporabniku, je edino pravilno, da uporabnik ve, kateri so ti podatki. Ne zgolj zato, da podjetje nadzoruje, temveč tudi zato, da lahko ob napačnih podatkih te popravi in s tem omogoči podjetju njihovo dejansko bolj natančno uporabo.

28 VAROVANJE PODATKOV

Vsi smo pripravljeni pustiti spletnemu trgovcu svoje osebne podatke, če dobimo pet evrov popusta.

GDPR na krovni ravni pluje v to smer. Vsaj na splošno govori o transparentnosti in podjetjem nalaga določene odgovornosti glede tega. Mislim, da je torej GDPR na tej ravni korak v pravo smer. Strah pa me je, da gre na ravni praktične izvedbe za velik korak v napačno smer. Podjetjem namreč nalaga velikansko odgovornost ter uvaja togost pri uporabi in obdelavi podatkov. S tem zmanjšuje konkurenčnost evropskih podjetij na globalnem trgu, kar utegne dolgoročno škoditi Evropi precej bolj kot pa »slab« nadzor nad osebnimi podatki. Roko na srce, vsi smo se pripravljeni prodati za pet evrov (oziroma, strokovno povedano, vsi smo pripravljeni pustiti spletnemu trgovcu svoje osebne podatke, če dobimo pet evrov popusta) in nobena uredba tega ne bo spremenila. Ampak pustimo zdaj te polemike ob strani. O tem, kaj GDPR je, je bilo napisano že kar precej. Glede na to, da se v Red Orbitu večinoma ukvarjamo s podatki (oziroma po GDPR-jevsko z »obdelavo osebnih podatkov z namenom izboljšanja in personalizacije trženja ter z namenom izboljšanja poslovanja in poslovnih rezultatov«), se bom tokrat posvetil vplivu nove zakonodaje na naše delo.

Ali zaradi GDPR zdaj ne smemo več zbirati in obdelovati osebnih podatkov?

Seveda jih lahko. GDPR ne prepoveduje zbiranja osebnih podatkov, temveč zgolj bolj natančno določa, kako jih lahko zbiramo (tukaj posebnih


novosti niti ni), zakaj jih zbiramo, kako jih hranimo in kako obdelujemo. Od podjetja (in njegovih zunanjih partnerjev) zahteva, da bolj natančno definirajo razloge za zbiranje in posamezne postopke, ki so povezani z obdelavo osebnih podatkov. Kaj to pomeni v praksi?

5 področij, kjer bo imel GDPR največji vpliv

1.

Vpeljava: pridobitev (posodobitev) soglasja Pri zbiranju osebnih podatkov (registracija uporabnika, prijava na e-časopis, nagradne igre …) bodo morala podjetja bolj natančno opredeliti, s kakšnim namenom se osebni podatki zbirajo in kdo jih bo obdeloval. To pomeni, da dikcija »zbrane podatke bomo uporabljali v trženjske namene« ni več dovolj. Določiti je treba, v kakšne trženjske namene jih bomo uporabljali. Do kod iti oziroma kako natančen biti, seveda ne ve nihče razen informacijskega pooblaščenca. Bolj natančni ste, bolj zadovoljni bodo na uradu informacijske pooblaščenke, seveda pa s tem omejujete samega sebe. Strinjanje z uporabo osebnih podatkov mora še vedno ostali eksplicitno (opt-in).

2.

Zbiranje: vpeljava novih načinov zbiranja osebnih podatkov Ad-hoc zamisli o novi nagradni igri ali vpeljavi novega načina zbiranja kontaktov ne bodo več toliko »ad-hoc«. Poleg primernega soglasja (opisano v točki 1) zakon od vas zahteva, da pred vsako novo

Zakaj splošna uredba o varstvu podatkov ni nekaj novega? Pri osebnih podatkih smo že do sedaj morali upoštevati slovensko zakonodajo, ki je že s prvim ZVOP leta 1999 postavila močne temelje varstva osebnih podatkov in jih utrdila leta 2004 s sprejetjem ZVOP-1. V lanskem maju je bila na nivoju EU sprejeta Splošna uredba o varstvu podatkov (GDPR), ki je predvsem po zaslugi držav, ki nimajo močne tradicije varovanja osebnih podatkov, postala zelo razvpita. Prav skladnost z

obstoječimi in prihajajočimi zakoni predstavlja izzive vsem organizacijam.

Obstajajo orodja, ki pomagajo zadolženim pri izvajanju tehničnih ukrepov.

Kdo nosi odgovornost za osebne podatke? V primeru, kjer to določa uredba, morata upravljavec in obdelovalec imenovati Pooblaščeno osebo za varstvo podatkov. Trenutno še ni jasno, kakšne kompetence mora imeti imenovana oseba. Zagotovo pa bo morala imeti poleg znanja lokalne in evropske zakonodaje gleda varstva podatkov še poznavanje sektorja in organizacije, poleg tega še poznavanje informacijske tehnologije, procesov obdelave, sistemov varovanja informacij in zahtev ter smernic nadzornega organa. Ne pozabimo pa, da je v prvi vrsti za izvajanje odgovorno poslovodstvo. Zmotno je tudi razširjeno mišljenje, da se funkcija pooblaščene osebe lahko najame na trgu. Zunanji izvajalci ne moremo nikoli poznati dovolj dobro interne organizacije. Lahko nudimo svetovanje v procesu vzpostavitve, ne moremo pa nositi odgovornosti pooblaščene osebe.

Za katera področja so kompetentni pravni strokovnjaki, za katera IT strokovnjaki? Zakonodaja je v primeru varovanja osebnih podatkov že dovolj definirana, da niso toliko potrebna pravna znanja kot poznavanje procesov in tehnologij. Zato zagovarjamo pristop strokovnjakov, ki imajo kombinacijo informacijskih in poslovnih znanj s pravno podlago.

Kakšna so še zavajanja strank? Poleg zavajanja, da lahko odgovornost prenesemo na zunanjega izvajalca storitev, določeni ponudniki nudijo namenska orodja za GDPR skladnost in naprave z oznako skladnosti. Veliko naprav sicer nosi oznako skladnosti, vendar samo po sebi to ne zagotavlja skladnost organizacije. Ne pozabimo, da so ključni gradniki ljudje, procesi, tehnologija in spremljanje s poročanjem.

Kaj nudimo našim strankam v družbi Unistar? V družbi, ki ima dolgo tradicijo na trgu informacijske tehnologije, nenehno iščemo izzive na področjih, ki šele prihajajo, saj le ta pomenijo konkurenčno prednost našim strankam. Iz področja varovanja osebnih podatkov pa izvajamo storitve pri identifikaciji zbirk ter namena obdelave, ocene učinka v zvezi z varstvom podatkov, vzpostavitev procesov, upravljanje varnostnih dogodkov in obveščanje, upravljanje identitet ter namestitev kontrol. Vse s ciljem zagotavljanja neprekinjenega poslovanja in upravljanja s tveganji. Preizkusite nas!


obdelavo osebnih podatkov natančno razmislite o tem, kaj boste s podatki počeli, in da se o tem pogovorite tudi s svojim pooblaščencem za varstvo osebnih podatkov oziroma DPO (če se vaše podjetje kvalificira za DPO).

3.

4.

Izpis: izpis osebnih podatkov na zahtevo uporabnika Zdaj prehajamo k zabavnemu delu. Vsak uporabnik lahko od podjetja vselej zahteva izpis vseh osebnih podatkov, ki jih o njem hrani to podjetje. Sliši se preprosto, vendar ni. Izpis podatkov iz CRM-sistema je dokaj preprosta stvar, ko pa v to okolje dodamo še zunanje partnerje, ki te podatke hranijo, obdelujejo in uporabljajo v raznovrstnih omrežjih in orodjih, se stvar zaplete. Uporabniku

JERNEJ LASIC

Obdelava: vpeljava novih načinov obdelave in uporabe osebnih podatkov Predpostavimo, da že nekaj let zbirate osebne podatke in pri tem v svojem soglasju navajate, da obdelujete podatke v trženjske namene. Imate težavo. Kot že omenjeno, je ta dikcija presplošna in bo za vse te podatke soglasje treba dobiti vnovič. Soglasje torej spremenite. V novem soglasju definirate, da boste osebne podatke uporabili za izvajanje vnovičnega trženja oziroma »remarketinga« na Googlu. Čez čas opazite, da remarketing deluje resnično odlično, zato se odločite, da ga razširite še na Facebook. Ups. Imate novo težavo. Ker ste v soglasju definirali, da boste podatke uporabljali zgolj za remarketing na Googlu, jih ne smete uporabiti za remarketing na Facebooku. Kot rečeno, bodite pametni in vnaprej razmislite, kje in kako boste uporabljali osebne podatke. moramo povedati, na katerem e-poštnem seznamu je, s katerimi oglaševalskimi platformami ga targetiramo ... Transparentno in evidentirano sodelovanje med naročniki in agencijami bo tukaj izredno pomembno.

5.

Izbris: izbris vseh podatkov na zahtevo uporabnika Na zahtevo uporabnika mora podjetje izbrisati vse osebne podatke, ki jih hrani o njem. Tukaj trčimo ob zid. Izbris osebnih podatkov iz lastnih sistemov ne bi smel biti težava. Težava bo nastala pri izbrisu z vseh platform in orodij, ki jih uporabljamo. V mislih nimam zgolj spletnih velikanov, kot sta Google in Facebook (kjer izbris trenutno sploh ni možen), temveč tudi številna druga orodja, na primer Salesforce in MailChip. V številnih orodjih posamezen vnos lahko izbrišemo, vendar pogosto nikjer ni navedeno, da je bil ta vnos dejansko trajno izbrisan z vseh strežnikov (možnost je, da je bil samo označen kot izbrisan in se tako v sistemu ne pojavlja več). Kako se bodo na to odzvali velikani (in vsa podjetja SaaS) in kako IP, bo pokazal le čas. Kot rečeno v uvodu, GDPR ni bavbav. Od podjetij (predvsem na povezavi agencija–naročnik) bo zahteval precej več sodelovanja, transparentnosti in evidentiranja procesov. To ni nujno slabo, vendar pomeni samo dobro stran pogače. Na drugi strani je vse odvisno od zakonodaje in Informacijskega pooblaščenca ter predvsem od njihovega razumevanja in interpretacije zakona. Tukaj močno upam, da bo celotni urad razumel vsebino in kontekst posameznega primera ter se primerno odzval. Vsi si želimo transparentnosti, nihče pa si verjetno ne želi srednjega veka.

Andraž Štalec je direktor podjetja Red Orbit. 30 VAROVANJE PODATKOV


Najpomembnejši poslovneži v Veliki Britaniji bodo brali o poslovnih priložnostih v Sloveniji. Izkoristite priložnost in se tudi vi predstavite bralcem poslovnega in finančnega tednika

(evropska izdaja).

Priložili mu bomo revijo

Slovenija vas vabi!

Rok za rezervacijo oglasnega prostora:

17. oktober Kontakt: oglasi@finance.si Telefon: 01

30 91 590

Več informacij na:

slo-mag.si/slovenia

Izv zniki.si


DobrodoĹĄli v dobi digitalne preobrazbe Portal podpirajo:

IKT informator

ikt.finance.si PridruĹžite se nam: boris.savic@finance.si


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.